2. 技术
    3. sysmon日志辅助工具

    sysmon日志辅助工具

    技术2022-07-10  105

    文章目录

    sysmon介绍sysmon 部署Sysmon ViewSysmon Shellsysmon优秀资源

    sysmon介绍

    如果是做过应急响应的朋友,对sysmon应该都比较熟悉了,它是一款强大的轻量级监控工具,由Windows Sysinternals官方出品的。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供相关进程创建、网络连接和文件创建更改时间等详细信息。

    不过有许多人都无法很好的运用sysmon,因为它必须要有合适的配置文件避免过多的日志量,它必须要有非常良好的日志分析能力来逐层分析关联日志…………

    有两款不错的sysmon辅助工具,可以极大的减轻负担:

    Sysmon View:Sysmon日志可视化工具Sysmon Shell:Sysmon配置文件生成工具

    sysmon 部署

    # 下载sysmon程序 https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon # sysmon程序安装 sysmon -accepteula –i <XML File> # sysmon程序配置变更 sysmon -c <XML File> # sysmon程序配置查看 sysmon -c # sysmon程序日志位置 EventViewer->Applications and Services ->Microsoft->Windows->Sysmon # Powershell查询日志 Get-WinEvent -FilterHashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=3;} | Where {$_.message -like "*192.168.0*" -and $_.message -like "*DestinationPort: *"} | Select-Object -Property message -First 1 | Format-List 快速安装脚本 mkdir C:\sysmon pushd "C:\sysmon\" echo [+] Downloading Sysmon... @powershell (new-object System.Net.WebClient).DownloadFile('https://live.sysinternals.com/Sysmon64.exe','C:\sysmon\sysmon64.exe')" echo [+] Downloading Sysmon config... @powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/sysmonconfig-export.xml','C:\sysmon\sysmonconfig-export.xml')" @powershell (new-object System.Net.WebClient).DownloadFile('https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/Auto_Update.bat','C:\sysmon\Auto_Update.bat')" sysmon64.exe -accepteula -i sysmonconfig-export.xml

    Sysmon View

    Sysmon View通过使用现有事件数据(例如可执行文件名称、会话GUID、事件创建时间等)对各种Sysmon事件进行逻辑分组和关联来帮助跟踪和可视化Sysmon日志,然后该工具重新排列此数据以供显示进多个视图。

    官方链接: https://github.com/nshalabi/SysmonTools

    # 日志导出 WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml # 日志可视 Sysmon View工具包含四个视图菜单选项:Process View、Map View、All Events View,Hierarchy

    Sysmon Shell

    sysmon最头痛的问题是如何配置适合企业内部使用的规则配置,网上有两个比较通用的规则配置:

    ion-storm => https://github.com/ion-storm/sysmon-configSwiftOnSecurity => 将帮助您加快与关键过程监控,网络利用率等相关的速度。请注意,此概念不是记录所有内容,而是记录最重要的项目。 https://github.com/SwiftOnSecurity/sysmon-config

    我们可以通过sysmon shell实现对这些通用规则配置实施优化调整,将一些企业特性规则追加到配置里面,将一些产生大量日志又没有什么用的剔除。

    sysmon优秀资源

    如下github项目是sysmon非常优秀的资源,用于学习有关使用Microsoft Sysmon进行部署,管理和搜寻的信息,包含演示文稿,部署方法,配置文件示例,博客和其他github存储库。 https://github.com/MHaggis/sysmon-dfir

    Processed: 0.067, SQL: 9