解析Microsoft Sentinel中的Sysmon日志

Tl;dr: 已有多种解析器被开发，本文参考了部分资源。本博客描述了一个针对Microsoft Sentinel的简单Sysmon日志解析器，覆盖事件ID（EID）至28。

Sysmon Schema版本描述

从下图可见，截至2022年12月23日，最新schema版本为4.83。若希望保持前沿，需在Sysmon配置文件中更新此版本。

以下代码块包含对2022年12月23日版本Sysmon模块化生成的一些补充。模块化在上述链接中引用，以下几行允许将Sysmon EID 27和28写入操作日志。

但等等……为什么我在Sentinel Sysmon解析器的GitHub仓库中讨论这些？稍安勿躁，信任过程，我们会搞定。

如图所示，用户空间的默认下载位置（c:\users*\downloads）通过上述Sysmon EID 27配置被阻止。此配置对于现代防护考虑不足，但展示了可能性。

此事件随后被写入Windows日志。假设您已与Microsoft Analytics或Log Analytics代理集成，并在工作区捕获Sysmon日志，这些日志将在几分钟内可查询。

我们现在还可以通过配置文件指令限制在配置位置的文件粉碎。回滚查看<– EID 28 –>配置块。我们仅限制c:\users*\Downloads；显然，这不足够。

接下来显示尝试使用SDelete（粉碎）Firefox安装程序（假装这是对手试图掩盖踪迹）。被阻止！！！！！

此事件也被写入事件日志。

若想在大多数SIEM中使Sysmon日志有意义，您需要解析它们。有几种解析器可用，部分似乎维护良好。以下链接最后更新于2023年3月1日，似乎覆盖所有Sysmon版本。

Microsoft Azure解析器GitHub仓库——并提供Sysmon解析器。

但是，这里还有另一个我们为APT类编写的解析器，由其他可用片段 crafted。

如图所示，您需要复制解析器内容。

将整个blob粘贴到Sentinel > 日志查询窗口并运行。查询可能需要片刻。完成后，点击另存为 > 函数。

相应命名函数——这很重要——因为您将在所有未来查询中使用此函数查询Sysmon日志。如图所示，它被命名为SysmonParser。

最后，在新查询窗口中通过调用SysmonParser()运行函数，并查找那些事件ID——27和28。

感谢阅读，继续防御！ -jd