Системный монитор (Sysmon) — это системная служба Windows и драйвер, который после установки в системе остается резидентным для отслеживания и регистрации активности системы в журнале событий Windows. Он предоставляет подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файлов. Собирая генерируемые им события с помощью Windows Event Collection или агентов SIEM, а затем анализируя их, вы выявить вредоносную или аномальную активность и понять, как злоумышленники и вредоносное ПО действуют в вашей сети.
Установка Sysmon в Windows
Создаем директорию C:\ProgramData\sysmon\
1 | mkdir C:\ProgramData\sysmon\ |
Скачиваем последнюю версию sysmon: https://live.sysinternals.com/Sysmon64.exe
Скачиваем набор правил:
От ion-storm: https://raw.githubusercontent.com/ion-storm/sysmon-config/develop/sysmonconfig-export.xml
Или с привязкой к Mitre: https://raw.githubusercontent.com/olafhartong/sysmon-modular/master/sysmonconfig.xml
Складываем все в C:\ProgramData\sysmon\
После чего, запускаем командную строку, правами администратора
1 2 | cd C:\ProgramData\sysmon\ sysmon64.exe -accepteula -i sysmonconfig-export.xml |
или
1 2 | cd C:\ProgramData\sysmon\ sysmon64.exe -accepteula -i sysmonconfig.xml |
В зависимости от того какой набор правил скачали
В системе установится служба и драйвер Sysmon. Всю зафиксированную (подозрительную) активность Sysmon будет записывать в журнал Microsoft-Windows-Sysmon/Operational