Sysmon事件ID详解 - 更新至29个事件ID!

本文详细解析了Sysmon的29个事件ID,包括进程创建、网络连接、文件操作等日志功能,并介绍了如何通过sysmon-modular配置文件进行事件调优和MITRE ATT&CK映射,帮助安全团队提升威胁检测能力。

Sysmon事件ID详解 - 更新至29个事件ID!

更新日志

  • 2023年10月30日:新增事件ID 29(文件阻止可执行文件)
  • 2022年12月22日:新增事件ID 26(文件删除检测)、27(文件阻止可执行文件)、28(文件阻止粉碎)

概述

本文通过事件ID分解Sysmon的日志功能,结合sysmon-modular配置库展示事件调优方法。每个事件ID均包含MITRE ATT&CK技术映射。

事件ID详解

事件ID 1: 进程创建

配置示例要求匹配特定镜像名称(如bitsadmin.exe),触发后记录进程创建事件并映射到MITRE ATT&CK T1197(BITS作业)。

事件ID 2: 文件创建时间修改

用于检测"Timestomping"技术(MITRE T1070.006),但实际用途较少。

事件ID 3: 网络连接

记录网络连接事件,例如RDP连接映射到MITRE T1021(远程服务)。

事件ID 4-5: Sysmon服务变更

  • ID 4:服务状态变更(不可过滤)
  • ID 5:进程终止(罕见事件)

事件ID 6: 驱动加载

记录驱动加载事件,在测试环境中24小时内未出现。

事件ID 7: 镜像加载

检测DLL侧加载(MITRE T1574.002),需通过RuleGroup进行排除规则配置。

事件ID 8: CreateRemoteThread

检测远程线程创建,包含图形驱动和可疑活动。

事件ID 9: RawAccessRead

当进程使用\\.\符号直接读取驱动器时触发,测试中未出现。

事件ID 10: 进程访问

记录进程权限请求,如MS Defender访问LSASS进程。

事件ID 11: 文件创建

监控用户空间文件创建(如.bat/.cmd文件),用于早期威胁检测。

事件ID 12-14: 注册表事件

  • ID 12:注册表对象添加/删除
  • ID 13:注册表值设置
  • ID 14:注册表对象重命名

事件ID 15: 文件流创建

记录浏览器下载行为,包含"Mark of the Web"标识。

事件ID 16: Sysmon配置变更

简单记录配置更改事件。

事件ID 17-18: 管道事件

  • ID 17:管道创建
  • ID 18:管道连接 监控SMB协议相关活动。

事件ID 19-21: WMI事件

  • ID 19:WMI事件过滤器
  • ID 20:WMI事件消费者
  • ID 21:WMI消费者到过滤器映射 需注意日志噪声问题。

事件ID 22: DNS事件

记录DNS查询,但可能产生大量日志,建议结合其他日志源使用。

事件ID 23: 文件删除归档

监控用户空间文件删除并归档副本,需注意配置逻辑运算符(应使用"or"而非"and")。

事件ID 24: 剪贴板变更

记录剪贴板内容,可能包含敏感信息。

事件ID 25: 进程篡改

检测Process Herpaderping等篡改技术。

事件ID 26: 文件删除检测

简单记录文件删除事件。

事件ID 27: 文件阻止可执行文件

阻止用户下载可执行文件到Downloads目录。

事件ID 28: 文件阻止粉碎

阻止文件粉碎工具(如sdelete)操作。

事件ID 29: 文件阻止可执行文件(新增)

捕获PE格式文件(EXE/DLL),支持Edge下载、RDP文件复制和PowerShell文件移动检测。

事件ID 255: 错误

记录Sysmon错误事件。

配置建议

  • 使用sysmon-modular进行规则管理
  • 通过RuleGroup结构实现包含/排除规则
  • 结合MITRE ATT&CK框架进行威胁映射
  • 重点关注用户空间文件操作和网络连接

致谢

感谢@olafhartong的sysmon-modular项目、@markrussinovich的Sysmon工具,以及BHIS平台的支持。

通过合理配置Sysmon事件日志,可以显著提升端点检测和威胁狩猎能力。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次