解析Microsoft Sentinel中的Sysmon日志

Tl;dr: 许多解析器已被编写，本文参考了其中一些。这篇博客描述了一个简单的解析器，用于在Microsoft Sentinel中解析Sysmon日志（事件ID（EID）至28）。

让我们从Sysmon schema版本的描述开始。如下所示，截至2022年12月23日，最新schema版本为4.83。如果您希望保持前沿，这需要在您的Sysmon配置文件中更新。

以下块包括对截至2022年12月23日的Sysmon模块化版本的一些补充。模块化在上面的链接中引用，下面的几行允许将Sysmon EID 27和28写入操作日志。

但等等……为什么我在Sentinel Sysmon解析器的GitHub仓库中讨论这些？请耐心等待，相信过程，我们会度过难关。

如您所见，用户空间的默认下载位置（c:\users*\downloads）通过上面显示的Sysmon EID 27配置被阻止。此配置对于现代保护考虑来说不足，但展示了可能性。

然后，此事件被写入Windows日志。假设您与Microsoft Analytics或Log Analytics代理集成，并在工作区中捕获Sysmon日志，这些日志将在几分钟内可查询。

我们现在还可以通过配置文件指令限制在我们配置的位置进行文件粉碎。向上滚动并查看<– EID 28 –>配置块。我们只限制c:\users*\Downloads；显然，这不足够。

接下来显示的是尝试SDelete（粉碎）Firefox安装程序（假装这是对手试图掩盖踪迹）。被阻止了！！！！！！

这也被写入事件日志。

现在来点实际的——我们所有人来这里的目的。如果您想在大多数SIEM中使您的Sysmon日志有意义，您需要解析它们。有一些可用的解析器，其中一些似乎维护良好。下面的链接最后更新于2023年3月1日，似乎涵盖了所有版本的Sysmon。

Microsoft Azure解析器GitHub仓库——并有一个可用的Sysmon解析器。

但是，这里还有另一个我们为我们的APT类编写的解析器，由其他可用片段拼凑而成。

如所示，您需要复制解析器的内容。

将整个blob粘贴到Sentinel > 日志查询窗口中并运行它。查询可能需要一会儿。完成后，点击另存为 > 函数。

相应地命名函数——这很重要——因为您将在所有未来查询中使用它来查询Sysmon日志。如所示，它被命名为SysmonParser。

最后，通过调用SysmonParser()在新的查询窗口中运行函数，并查找那些几个事件ID——27和28。

参考资料:

• Sysmon – Windows上最好的系统监视器！甚至比Windows审计更好！
• Olaf Hartong的Sysmon模块化 – 有史以来与世界分享的最好的Sysmon配置生成器！
• Olaf Hartong最近关于Sysmon EID 27的文章 – 文件阻止可执行文件 – 以及编写此内容、清理解析器并推送到GitHub的基线。

感谢阅读，并继续在那里防御！ -jd