Sysmon
Sysmon 是什么?
SysmonMicrosoft Sysinternals 提供的 Windows 服务,可在事件日志中生成丰富的进程、网络、文件、注册表与映像加载等安全遥测数据。
Sysmon(System Monitor)是 Microsoft Sysinternals 提供的免费 Windows 系统服务,由 Mark Russinovich 与 Thomas Garnier 开发,可补充内置 Windows 事件日志,生成高保真度的安全遥测数据。安装并通过 XML 配置后,Sysmon 会输出包含完整命令行与文件哈希的进程创建事件(ID 1)、网络连接(ID 3)、映像加载(ID 7)、DNS 查询(ID 22)、文件创建(ID 11)、注册表更改(ID 12-14)等事件。防御者将 Sysmon 日志接入 SIEM,并配合 Sigma 规则,用于检测 living-off-the-land 技术、凭据转储与持久化。社区配置如 SwiftOnSecurity 的 sysmon-config 与 Olaf Hartong 的模块化配置,是广泛采用的起步方案。
● 示例
- 01
结合 Sigma 规则与 Sysmon 事件 ID 1 检测 svchost.exe 的可疑子进程。
- 02
通过 Sysmon 事件 ID 7(映像加载)与模块哈希狩猎 Cobalt Strike Beacon 的 DLL 注入。
● 常见问题
Sysmon 是什么?
Microsoft Sysinternals 提供的 Windows 服务,可在事件日志中生成丰富的进程、网络、文件、注册表与映像加载等安全遥测数据。 它属于网络安全的 防御与运营 分类。
Sysmon 是什么意思?
Microsoft Sysinternals 提供的 Windows 服务,可在事件日志中生成丰富的进程、网络、文件、注册表与映像加载等安全遥测数据。
Sysmon 是如何工作的?
Sysmon(System Monitor)是 Microsoft Sysinternals 提供的免费 Windows 系统服务,由 Mark Russinovich 与 Thomas Garnier 开发,可补充内置 Windows 事件日志,生成高保真度的安全遥测数据。安装并通过 XML 配置后,Sysmon 会输出包含完整命令行与文件哈希的进程创建事件(ID 1)、网络连接(ID 3)、映像加载(ID 7)、DNS 查询(ID 22)、文件创建(ID 11)、注册表更改(ID 12-14)等事件。防御者将 Sysmon 日志接入 SIEM,并配合 Sigma 规则,用于检测 living-off-the-land 技术、凭据转储与持久化。社区配置如 SwiftOnSecurity 的 sysmon-config 与 Olaf Hartong 的模块化配置,是广泛采用的起步方案。
如何防御 Sysmon?
针对 Sysmon 的防御通常结合技术控制与运营实践,详见上方完整定义。
Sysmon 还有哪些其他名称?
常见的别称包括: System Monitor。
● 相关术语
- defense-ops№ 1039
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
- defense-ops№ 1041
Sigma 规则
面向日志事件的厂商无关 YAML 检测签名,可转换为 SIEM、EDR 或 XDR 后端的查询语句。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- forensics-ir№ 627
日志分析
对系统、应用和安全日志进行系统化审查,以检测、调查和重建与安全相关的事件。
- attacks№ 862
进程注入
一类规避检测的技术,攻击者在合法进程的地址空间内执行恶意代码,以借用其信任与身份。