工具发布公告:Sysmon v6安全监控工具
Sysmon正在持续进化。
我们很高兴宣布@markrussinovich和@mxatone已发布Sysmon v6版本。两年前首次讨论Sysmon v2时仅支持7种事件类型,如今已扩展至19种事件类型外加错误事件。从Mark在RSA大会的演示中可以看到新增的3种v6事件类型(已高亮显示)。
Sysmon事件类型
“本次发布的Sysmon作为后台监控工具,可将系统活动记录到事件日志中用于安全事件检测和取证。新版本新增了事件模式显示选项、配置变更事件记录、标准化注册表路径显示,以及命名管道创建和连接事件监控功能。”
Mark的演示包含了Sysmon优化运行的基础事件推荐配置:
基础事件推荐配置
(图表内容:进程创建/终止、网络连接、文件创建时间变更等核心监控项)
基础事件推荐配置(续)
(图表内容:WMI事件、驱动程序加载、跨进程注入等高级监控项)
强烈建议采用这些推荐配置进行部署。初学者可使用Sysmon配置模板快速上手,如@SwiftOnSecurity在Github提供的sysmon-config-export.xml。该模板特点包括:
- 每行配置均有详细注释
- 按功能分区并附带解释说明
- 兼具Sysmon教学指南功能
- 涵盖Windows系统关键监控区域
部署命令示例:
sysmon.exe -accepteula -i sysmonconfig-export.xml
实战演示:驱动加载检测
通过WinPMEM内存取证工具加载内核驱动时,Sysmon准确捕获了Event ID 6(驱动加载)事件:
|
|
Windows事件查看器对应日志:
Applications and Services Logs/Microsoft/Windows/Sysmon/Operational
最后附上Mark提出的Sysmon最佳实践要点:
- 全环境部署(包括工作站和服务器)
- 结合威胁情报优化配置
- 建立事件响应流程
- 集中化日志收集与分析
立即部署Sysmon v6,全面提升您的安全监控能力!