Sysmon v6 安全监控工具发布与部署指南
Sysmon 持续优化升级。
我很高兴提到 @markrussinovich 和 @mxatone 发布了 Sysmon v6。
两年前我第一次讨论 Sysmon v2 时,它仅提供七种事件类型。
过去两年间它显著发展,现在支持 19 种事件外加一种错误事件。
从 Mark 的 RSA 演示中,我们可以看到当前事件列表,其中突出显示了三个新的 v6 事件。
Sysmon 事件
“此版本的 Sysmon 是一个后台监视器,可将活动记录到事件日志中,用于安全事件检测和取证,引入了显示事件架构的选项,添加了 Sysmon 配置更改事件,以通用格式解释和显示注册表路径,并添加了命名管道创建和连接事件。”
Mark 的演示包括他的基本事件建议,以便优化运行 Sysmon。
基本事件建议
强烈建议您按照这些建议进行部署。
一个很好的入门方法是使用 Sysmon 配置模板。再次强调,正如 Mark 在 RSA 上讨论的,考虑通过 Github 使用 @SwiftOnSecurity 的 sysmon-config-export.xml。虽然 Github 上有许多模板,但此模板"几乎每一行都有注释,各部分都标有解释,因此它还应作为 Sysmon 的教程和 Windows 系统中关键监控区域的指南。“使用它运行 Sysmon 非常简单:
|
|
作为 Sysmon 功能的快速示例以及为什么应始终在所有地方运行它,请考虑以下驱动程序安装场景。虽然这是一个非恶意场景,DFIR 从业者会欣赏,而不是恶意行为者,但检测行为类似于基于内核的恶意软件所导致的行为。
我启动了 WinPMEM,这是 Rekall 中包含的用于访问物理内存的内核模式驱动程序,如下所示:
WinPMEM
在 Windows 事件查看器中导航到 Applications and Services Logs/Microsoft/Windows/Sysmon/Operational 后,我检索到了预期的事件:
事件 ID 6:驱动程序已加载
让您广泛部署 Sysmon 的最佳方式是遵循 Mark 的最佳实践和提示,再次来自他的 RSA 演示。
最佳实践和提示
前进并部署吧!
干杯…直到下次。