Sysmon
Sysmon 是什么?
SysmonMicrosoft Sysinternals 提供的 Windows 服务,可在事件日志中生成丰富的进程、网络、文件、注册表与映像加载等安全遥测数据。
Sysmon(System Monitor)是 Microsoft Sysinternals 提供的免费 Windows 系统服务,由 Mark Russinovich 与 Thomas Garnier 开发,可补充内置 Windows 事件日志,生成高保真度的安全遥测数据。安装并通过 XML 配置后,Sysmon 会输出包含完整命令行与文件哈希的进程创建事件(ID 1)、网络连接(ID 3)、映像加载(ID 7)、DNS 查询(ID 22)、文件创建(ID 11)、注册表更改(ID 12-14)等事件。防御者将 Sysmon 日志接入 SIEM,并配合 Sigma 规则,用于检测 living-off-the-land 技术、凭据转储与持久化。社区配置如 SwiftOnSecurity 的 sysmon-config 与 Olaf Hartong 的模块化配置,是广泛采用的起步方案。
● 示例
- 01
结合 Sigma 规则与 Sysmon 事件 ID 1 检测 svchost.exe 的可疑子进程。
- 02
通过 Sysmon 事件 ID 7(映像加载)与模块哈希狩猎 Cobalt Strike Beacon 的 DLL 注入。
● 常见问题
Sysmon 是什么?
Microsoft Sysinternals 提供的 Windows 服务,可在事件日志中生成丰富的进程、网络、文件、注册表与映像加载等安全遥测数据。 它属于网络安全的 防御与运营 分类。
Sysmon 是什么意思?
Microsoft Sysinternals 提供的 Windows 服务,可在事件日志中生成丰富的进程、网络、文件、注册表与映像加载等安全遥测数据。
如何防御 Sysmon?
针对 Sysmon 的防御通常结合技术控制与运营实践,详见上方完整定义。
Sysmon 还有哪些其他名称?
常见的别称包括: System Monitor。