当前位置:首页 > 行业动态 > 正文

Sysmon是什么?它在计算机安全中扮演什么角色?

sysmon 是一个强大的系统监控工具,可以实时监控系统性能和资源使用情况。它提供了详细的报告和警报功能,帮助用户优化系统性能和诊断问题。

Sysmon 系统监控工具详解

Sysmon 是由 Windows Sysinternals 出品的一款系统监控工具,它是 Windows 系统服务和设备驱动程序,一旦安装在系统上,Sysmon 会在系统重新启动期间持续运行,以监视系统活动并将其记录到 Windows 事件日志中,通过使用相关日志收集工具收集并分析这些事件,用户可以识别反面或异常活动,了解载入者和反面软件在网络中的运行方式,本文将详细介绍 Sysmon 的功能、使用方法以及常见问题解答。

一、Sysmon 功能

Sysmon 提供多种功能,用于详细监视系统活动,以下是 Sysmon 的主要功能:

1、进程创建监控

记录当前和父进程的完整命令行。

使用 SHA1(默认值)、MD5、SHA256 或 IMPHASH 记录进程映像文件的哈希。

可以同时使用多个哈希。

在进程创建事件中包含进程 GUID,即使 Windows 重用进程 ID 时也可以使事件相关联。

在每个事件中都包含一个会话 GUID,以允许在同一登录会话上关联事件。

2、网络连接监控

可选地记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。

3、文件创建时间更改检测

检测文件创建时间的更改,以了解文件真正创建的时间,修改文件创建时间戳是反面软件常用的技术,用来掩盖其踪迹。

4、注册表变更监控

如果注册表中发生更改,则自动重新加载配置。

5、规则过滤

动态包含或排除某些事件的规则过滤。

6、早期启动过程监控

从启动过程的早期开始生成事件,以捕获甚至复杂的内核模式反面软件进行的活动。

7、其他监控选项

记录磁盘和卷的原始读取访问。

记录驱动程序或 DLL 的加载及其签名与哈希。

二、安装与配置

安装 Sysmon

可以使用以下命令行选项来安装 Sysmon:

sysmon64 -i [<configfile>]:安装服务和驱动程序,可选地采用配置文件。

sysmon64 -c [<configfile>]:更新已安装的 Sysmon 驱动程序的配置或转储当前配置,可选地采用配置文件。

sysmon64 -m:安装事件清单(以及在服务安装时隐式完成)。

sysmon64 -s:打印配置架构定义。

sysmon64 -u [force]:卸载服务和驱动程序,即使未安装一些组件,使用“-u force”也会导致卸载继续进行。

示例:

使用默认设置进行安装(进程映像已经过 SHA1 哈希处理,且没有网络监视)
sysmon -accepteula -i
使用配置文件安装 Sysmon
sysmon -accepteula -i c:windowsconfig.xml

更新配置

转储当前配置
sysmon -c
使用配置文件重新配置活动的 Sysmon
sysmon -c c:windowsconfig.xml
将配置更改为默认设置
sysmon -c

三、日志事件解析

Sysmon 会生成各种类型的事件,每种事件类型都有特定的事件 ID 和相关信息,以下是一些常见的事件 ID 及其描述:

事件 ID 1:进程创建

提供有关新创建进程的扩展信息,包括完整命令行、ProcessGUID 和哈希值。

事件 ID 2:进程更改文件创建时间

当进程明确修改文件创建时间时,将注册更改文件创建时间事件,此事件有助于跟踪文件的实际创建时间。

事件 ID 3:网络连接

记录计算机上的 TCP/UDP 连接,默认禁用,每个连接都通过 ProcessId 和 ProcessGuid 字段链接到一个进程。

事件 ID 4:Sysmon 服务状态已更改

报告 Sysmon 服务的状态(已启动或已停止)。

事件 ID 5:进程终止

报告进程的终止时间,提供进程的 UtcTime、ProcessGuid 和 ProcessId。

事件 ID 6:驱动程序已加载

提供系统上正在加载的驱动程序的相关信息,包括已配置的哈希以及签名信息。

事件 ID 7:映像已加载

记录特定进程中加载模块的时间,默认处于禁用状态,需要使用“-l”选项进行配置。

事件 ID 8:CreateRemoteThread

检测一个进程在另一个进程中创建线程的时间,通常用于代码注入。

事件 ID 9:RawAccessRead

检测进程使用“\.”从驱动器进行读取操作的时间,通常用于数据泄漏。

四、FAQs

Q1: Sysmon 是否会影响系统性能?

A1: Sysmon 设计为轻量级工具,对系统性能的影响较小,监视大量事件(如所有图像加载事件)可能会产生显著的日志记录量,从而影响性能,建议根据实际需求配置规则过滤,以减少不必要的日志记录。

Q2: Sysmon 如何检测反面活动?

A2: Sysmon 通过监视系统活动并记录到事件日志中,结合日志分析工具,可以识别出与正常行为偏离的活动,通过检测文件创建时间的更改、不寻常的网络连接或进程创建活动,可以发现潜在的反面软件活动,Sysmon 还可以检测内核模式的反面软件活动,通过早期启动过程监控来捕获复杂威胁。

Sysmon 是一款功能强大的系统监控工具,能够帮助用户实时监控系统活动并识别潜在的安全威胁,通过合理配置和使用日志分析工具,用户可以充分利用 Sysmon 提供的详细信息来保护系统安全。

以上内容就是解答有关“sysmon”的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。

0