Sysmon

Sysmon简介

Sysmon是一款多功能win系统系统监视器，是一款Windows系统服务和设备驱动。一旦安装到系统上，它将在系统重新启动期间保持监视系统活动，并将它们记录在Windows事件日志中。它提供了有关进程创建、网络连接和文件创建时间更改的详细信息；通过收集使用Windows事件收集或SIEM代理生成的事件，然后对其进行分析，用户可以识别恶意或异常活动，并了解入侵者和恶意软件如何在您的网络上运行。用户要注意，Sysmon不提供对其产生的事件的分析，也不试图保护自己或保护自己免受攻击者的攻击；如果注册表发生变化，配置将自动重新加载，规则将被过滤，以动态地包括或排除某些事件，并且将从启动过程的早期阶段生成事件，以捕获甚至复杂的内核模式恶意软件的活动！

Sysmon软件功能

使用完整的命令行记录当前和父进程的进程创建。

使用SHA1(默认)、MD5、SHA256或IMPHASH记录过程映像文件的哈希。

您可以同时使用多个哈希。

在进程创建事件中包含进程GUID，即使Windows重用进程ID，事件也可以是相关的。

在每个事件中包含一个会话GUID，以允许在同一登录会话中关联事件。

使用签名和散列来记录驱动程序或dll的加载。

将打开日志，以便对磁盘和卷进行原始读取访问。

记录网络连接，包括每个连接的源进程、IP地址、端口号、主机名和端口名。

检测文件创建时间的变化，以了解文件实际创建的时间。

修改文件创建时间是恶意软件通常用来掩盖其踪迹的技术。

Sysmon软件特色

安装服务和驱动程序。(可选)获取配置文件。

如果未提供其他参数，请更新已安装Sysmon驱动程序的配置或转储当前配置。(可选)获取配置文件。

安装事件列表(也应在服务安装中完成)。

打印配置模式定义。

卸载服务和驱动程序。即使未安装某些组件，强制应用也会导致卸载继续。

该服务将立即记录事件，驱动程序将作为启动驱动程序安装。

捕获服务将在启动时写入事件日志的早期活动。

在Vista和更高版本中，事件存储在“应用程序和服务日志/micsoft/windowsSysmon/operating”中

在早期系统上，事件被写入系统事件日志。

如果需要有关配置文件的更多信息，可以使用config命令。

更多的例子可以在系统内部网站上找到。

指定-accepteula在安装时自动接受eula，否则将提示您接受该协议。

安装和卸载不需要重新启动。

使用默认设置安装，使用sha1哈希处理图像，并且没有网络监控。

Sysmon使用说明

使用Sysmon简单命令行选项安装和卸载它，并修改Sysmon的配置:

系统内部的Syon v11.0系统活动监视器

设置:sysmon -i []

更新:sysmon -c []

事件列表:sysmon -m

打印模式:sysmon -s

卸载:sysmon -u [force]

使用

参数描述

使用配置文件安装Sysmon(如下所述)

sysmon-accept EULA-IC: windows config . XML

从计算机上卸载

系统监视器

转储当前配置。

sysmon -c

使用配置文件更改sysmon的配置(如下所述)

sysmon -cc: windows config.xml

将配置更改为默认设置

sysmon -c-

显示配置模式:

系统监视器

事件编年史

在Vista和更高版本中，事件存储在“应用程序和服务日志/Micsoft/Windows/Sysmon/operating”中，而在早期系统中，事件写入系统事件日志。事件日志采用世界协调时标准时间。

以下是由Sysmon生成的每种事件类型的示例。

事件标识1:流程创建

流程创建事件提供了关于新创建流程的扩展。的完整命令行为进程执行提供了上下文。PcessGUID字段是此流程在整个域中的唯一值，以简化事件关联。哈希是文件的完整哈希，包含哈希类型字段中的算法。

事件标识2:一个进程更改了文件创建时间。

当进程显式修改文件创建时间时，将注册更改文件创建时间事件。此事件有助于跟踪文件实际创建的时间。攻击者可能会更改后门的文件创建时间，使其看起来像是安装了操作系统。请注意，许多进程会合理地更改文件的创建时间。并不一定意味着恶意活动。

事件标识3:网络连接

网络连接事件记录计算机上的TCP/UDP连接。默认情况下是禁用的。每个连接都通过PcessId和PcessGUID字段链接到流程。该事件还包含源和目标主机名的IP地址、端口号和IPv6状态。

事件ID 4:Sysmon服务状态已更改。

服务状态更改事件报告Sysmon服务的状态(已启动或已停止)。

事件标识5:进程终止

当进程终止时，报告进程终止事件。它提供进程的UtcTime、PcessGuid和PcessId。

事件ID 6:驱动程序已加载。

驱动程序加载事件提供了有关在系统上加载驱动程序的信息。提供的哈希值和签名。由于功能的原因，签名是异步创建的，并指示文件是否在加载后被删除。

事件标识7:图像已加载

图像加载事件记录在特定过程中加载模块的时间。默认情况下，此事件被禁用，需要使用–l选项进行配置。它指示模块的加载过程、散列和签名。由于功能的原因，签名是异步创建的，并指示文件是否在加载后被删除。应该仔细配置此事件，因为监视所有图像加载事件将生成大量事件。

事件标识8:创建远程线程

当一个进程在另一个进程中创建一个线程时，CreateRemoteThread事件会进行检测。恶意软件使用这种技术注入代码，并将其隐藏在其他进程中。此事件指示源进程和目标进程。它提供了关于要在新线程中运行的代码的信息:开始地址、开始模块和开始函数。请注意，将会推断StartModule和StartFunction字段，如果起始地址在加载的模块或已知导出函数之外，则它们可能为空。

事件ID 9:RawAccessRead

RawAccessRead事件检测进程何时被使用。表示从驱动器读取。恶意软件经常使用这种技术来泄露被锁定读取的文件的数据，并避免使用文件访问审计工具。该事件指示源进程和目标设备。

事件标识10:PcessAccess

当一个进程打开另一个进程时，该进程访问事件报告，这通常伴随着查询或读写目标进程的地址空间。通过这种方式，可以检测到读取本地安全机构(Lsass.exe)等进程内存内容的工具，以窃取用于哈希传输攻击的凭据。如果存在重复打开进程以查询其状态的活动诊断实用程序，启用该实用程序会生成大量日志，因此通常只能通过使用删除预期访问的过滤器来启用该实用程序。

事件标识11:文件创建

或者覆盖文件，将记录文件创建为。此事件对于监控自动启动位置(如启动文件夹)以及临时目录和下载目录非常有用，这些目录是恶意软件在初始感染期间落入的常见位置。

事件标识12:注册事件(对象创建和删除)

注册表项和值的创建和删除映射到此事件类型，这对于监控注册表自动启动位置的更改或特定恶意软件注册表修改非常有用。

/[/k0/

事件标识12:注册表(对象创建和删除)

关键缩写

HKLM本地机器

HKEY用户大学

HKEY _ LOCAL _ MACHINE contlset 00x HKLM current contlset

HKEY _ LOCAL _ MACHINE Classes结算

事件标识13:注册事件(值集)

此注册表事件类型标识注册表值修改。该事件记录为DWORD和QWORD类型的注册表值写入的值。

事件标识14:注册表事件(键和值的重命名)

注册表项和值的重命名映射到此事件类型，并记录重命名的项或值的新名称。

事件标识15:文件创建流哈希

创建命名文件流时会记录此事件，并生成一个事件来记录该流所分配到的文件内容(未命名流)和命名流内容的哈希。一些恶意软件变种会通过浏览器下载删除其可执行文件或配置设置，此事件旨在基于Zone“网络标签”流的浏览器捕获它们。附加标识符。

事件id 16:service configuration change

记录此事件Sysmon配置中的更改-例如，更新过滤规则时。

事件标识17:管道事件(管道已创建)

创建命名管道时会生成此事件。恶意软件通常使用命名管道进行进程间通信。

事件标识18:管道事件(连接的管道)

当客户端和之间建立命名管道连接时，将记录此事件。

事件ID 19:WmiEvent(检测到WmiEventFilter活动)

注册WMI事件过滤器(此方法由恶意软件执行)后，此事件将记录WMI命名空间、过滤器名称和过滤器表达式。

事件ID 20:WmiEvent(检测到WmiEvent消费者活动)

该事件记录WMI用户的注册，并记录用户名、姓名和目的地。

事件ID 21:WmiEvent(检测到WmiEventConsumerToFilter活动)

当用户绑定到筛选器时，此事件记录用户名和筛选器路径。

事件id 22: DNS事件(DNS查询)

当进程执行DNS查询时，无论结果是成功还是缓存，都会生成此事件。Windows 8.1增加了此事件的遥测功能，因此在Windows 7及更早版本中不可用。

事件ID 23:文件删除(检测到文件删除)

文件已被删除。

事件标识255:错误

当Sysmon中出现错误时，将生成此事件。如果系统负载过重，某些任务无法执行，或者Sysmon服务中有错误，就会发生这种情况。你可以在sysinter论坛或Twitter(@markrussinovich)上报告任何错误。

配置文件

您可以在-i(安装)或-c(安装)配置开关后指定配置文件。它们使部署预设配置和过滤捕获的事件变得更加容易。

一个简单的配置xml文件如下:

配置文件包含Sysmon标记上的schemaversion属。此版本为Sysmon二进制版本，允许解析旧的配置文件。你可以用“-？”获取当前架构版本。Config”命令行。配置条目直接位于Sysmon标签下，而过滤器位于EventFilteng标签下。

配置条目

配置条目类似于命令行开关，包括以下内容

配置条目包括以下内容:

配置条目

价值描述

归档目录字符串卷根目录中的目录名，已删除的副本文件将被移动到该目录中。该目录受系统ACL保护。(您可以在Sysniperies中使用PsExec通过“pec -sid cmd”访问目录)。默认值:Sysmon

check撤销布尔控制签名pin。默认值:真

删除布尔值以保留删除的可执行图像文件。默认值:假

CopyOnDeleteSID以逗号分隔的字符串帐户SID列表，将删除其保留文件。

删除字符串时保留的文件扩展名。

CopyOnDeletePcesses字符串保留要删除的文件的进程名。

Dns查询布尔控制反向DNS查找。默认值:真

驱动程序名称字符串使用驱动程序和服务映像的指定名称。

算法字符串哈希算法适用于哈希。支持的算法包括MD5、SHA1、SHA256、IMPHASH和*(全部)。默认值:无

Sysmon用法输出中描述了命令行开关的配置条目。参数是基于标签的可选参数。如果命令行开关也启用事件，则需要通过其过滤器标签进行配置。您可以指定-s开关来使Sysmon打印完整的配置模式，包括事件标记以及每个事件的字段名和类型。例如，以下是RawAccessRead事件类型的模式:

Template = "检测到RawAccessRead " rule name = " RawAccessRead "

Version = "2 " >

事件过滤器条目

事件过滤允许您过滤生成的事件。在许多情况下，事件可能过于嘈杂，无法收集所有事件。例如，您可能只对特定进程的网络连接感兴趣，而不是对所有进程感兴趣。您可以过滤主机上的输出，以减少要收集的数据。

在配置文件的EventFilteng节点下，每个事件都有自己的过滤器标签:

事件过滤器条目

标识标签事件

1流程创建流程创建

2文件创建时间文件创建时间

3网络连接检测到网络连接。

4不适用Sysmon服务状态更改(无法过滤)

5流程终止流程已终止。

6驱动程序加载驱动程序已加载。

图像加载图片已加载。

8检测到CreateRemoteThread

9 RawAccessRead检测到RawAccessRead。

已经访问了10个PcessAccess process。

1文件创建文件已创建。

12注册表事件添加或删除注册表对象

13注册表事件注册表值集

14注册表事件注册表对象已被重命名。

15文件创建流已创建文件流。

6不适用Sysmon配置更改(无法过滤)

1pipeevent创建命名管道。

1已连接名为Pipeevent的管道。

19瓦WMI滤波器

20名WMI消费者

2wmi事件wmi用户筛选器

22 DNS查询DNS查询

2文件删除文件删除

您也可以在事件查看器中的任务名称上找到这些标签。

如果事件匹配，则应用onmatch筛选器。您可以使用过滤器标签的“onmatch”属性来更改它。如果该值为“include”，则意味着只包含匹配的事件。如果设置为“排除”，除非规则匹配，否则将包括事件。您可以为每个事件标识指定包含筛选器集和排除筛选器集，排除匹配优先。

每个筛选器可以包含零个或多个规则。过滤器标签下的每个标签都是事件的字段名称。为相同字段名指定条件的规则充当“或”条件，而为不同字段名指定条件的规则充当“与”条件。规则也可以使用条件来匹配值。条件如下(均不区分大小写):

表5

健康)状态描述

默认值是否等于

但任何领域都是其中之一；分隔值

不是不同的价值观。

包含字段包含此值。

任意此字段包含以下任意值:分隔值

所有此字段包含以下任何一项:分隔值

排除此字段不包含此值的情况。

排除任何不包含一个或多个的字段；分隔值

全部排除此字段不包含任何内容；分隔值

该字段首先从该值开始。

该字段以此值结束。

小于字典小于零。

多字典比较大于零

图像匹配图像路径(完整路径或仅图像名称)。例如，lsass.exe将匹配C: Windows System32 lsass.exe。

您可以通过将其指定为属来使用其他条件。这将把网络活动排除在iexplore.exe进程之外。

要让Sysmon报告哪个规则匹配导致事件被记录，请为规则添加一个名称。

您可以对同一标签使用包含和排除规则，其中排除规则覆盖包含规则。在规则中，筛选条件具有“或”行为。在前面显示的示例配置中，网络筛选器使用“包括”和“排除”规则来捕获端口80和443的所有进程(名称中包含iexplore.exe的进程除外)的活动。

您也可以通过使用规则组来覆盖组合规则，该规则组允许将一个或多个事件的规则组合类型显式设置为“与”或“或”。

下面的示例演示了这种用法。在第一个规则组中，当仅使用命令行参数“100”执行timeout.exe时，将生成一个进程创建事件，但是将生成一个进程终止事件来终止ping.exe和timeout.exe。