Sysmon

15.14
Rozmiar: 5MB
/

Sysinternals Sysmon to oprogramowanie do monitorowania systemu, a zwłaszcza aktywnych procesów.

Działa ono z poziomu wiersza poleceń i jest kierowane do bardziej zaawansowanych użytkowników.

W celu uruchomienia programu należy powziąć kilka kroków, czyli uruchomić wiersz poleceń wpisując polecenie cmd w pole uruchom, podać komendę sysmon -i rozpoczynającą instalację.

Gdy ta dobiegnie końca, można rozpocząć korzystanie opierając się na bazie dostępnych na stronie producenta komend.

Zawiera szczegółowe informacje o tworzeniu procesów, połączeniach sieciowych i zmianach czasu tworzenia pliku. Zbierając zdarzenia generowane przy użyciu zbierania zdarzeń systemu Windows, a następnie analizując je, można zidentyfikować złośliwe lub nietypowe działania i zrozumieć, w jaki sposób intruzów i złośliwego oprogramowania działają w sieci.

System Sysmon oferuje następujące możliwości:

  • Rejestruje tworzenie procesu z pełnym wierszem polecenia dla bieżących i nadrzędnych procesów.
  • Rejestruje skrót plików obrazów procesu przy użyciu algorytmu SHA1 (wartość domyślna), MD5, SHA256 lub IMPHASH.
  • Zawiera identyfikator GUID procesu w procesie tworzenia zdarzeń, aby umożliwić korelację zdarzeń nawet wtedy, gdy system Windows ponownie używa identyfikatorów procesów.
  • Zawiera identyfikator GUID sesji w każdym zdarzeń, aby umożliwić korelację zdarzeń w tej samej sesji logowania.
  • Rejestruje ładowanie sterowników lub bibliotek DLL przy użyciu ich podpisów i skrótów.
  • Dzienniki są otwierane dla nieprzetworzonego dostępu do odczytu dysków i woluminów.
  • Opcjonalnie rejestruje połączenia sieciowe, w tym proces źródłowy każdego połączenia, adresy IP, numery portów, nazwy hostów i nazwy portów.
  • Wykrywa zmiany w czasie tworzenia pliku, aby zrozumieć, kiedy plik został naprawdę utworzony. Modyfikacja sygnatur czasowych tworzenia pliku jest techniką często używaną przez złośliwe oprogramowanie do okrycia jego ścieżek.
  • Automatycznie załaduj ponownie konfigurację, jeśli zostanie zmieniona w rejestrze.
  • Filtrowanie reguł w celu dynamicznego dołączania lub wykluczania niektórych zdarzeń.
  • Generuje zdarzenia od początku procesu rozruchu w celu przechwytywania aktywności wykonanej przez nawet zaawansowane złośliwe oprogramowanie w trybie jądra.