Последние версии Sysmon поддерживают протоколирование DNS-запросов.
Это делается через событие ID 22 в журнале Applications and Services Log > Microsoft > Windows > Sysmon Operational.
Чтобы включить регистрацию DNS, необходимо включить секцию DnsQuery в конфигурационный файл Sysmon. Например:
1 2 3 4 5 | <Sysmon schemaversion="4.21"> <EventFiltering> <DnsQuery onmatch="exclude" /> </EventFiltering> </Sysmon> |
Обратите внимание, что включение DNS-запросов может быть шумным. Лучше всего применить фильтрацию, предложенную в конфигурационном файле SwiftOnSecurity sysmon, и, кроме того, отфильтровать часто используемые внутренние имена хостов.