System Monitor (sysmon) er et tilføjelsesprogram til Windows-logføring, der giver mulighed for detaljeret logføring og registrerer sikkerhedshændelser, som normalt ikke registreres som standard. Den giver oplysninger om procesoprettelser, netværksforbindelser, ændringer af filsystemer og meget mere. Det er vigtigt at analysere sysmonlogfiler for at få øje på skadelige aktiviteter og sikkerhedstrusler.
ManageEngine EventLog Analyzer, en kraftfuld løsning til logadministration, kan centralt indsamle og overvåge sysmonlogfiler fra alle Windows- og Linux-enheder for at opretholde slutpunktssikkerheden.
Når EventLog Analyzer modtager logfiler fra enheder, der har sysmon installeret, genererer EventLog Analyzer automatisk klar-til-brug-rapporter med detaljerede oplysninger om alvorlige hændelser i form af intuitive grafer og diagrammer.
EventLog Analyzer hjælper dig med at holde styr på forskellige processer, herunder processer, der kører i øjeblikket, og processer, der er blevet afsluttet. Ud over procesnavnet kan du se yderligere oplysninger om processen, f.eks. proces-ID'et, navnet på den overordnede proces og processens kommandolinje. Ved at sammenholde disse oplysninger med trusselsfeeds kan du få øje på skadelige softwareinstallationer eller malwareangreb.
EventLog Analyzer hjælper dig med at holde styr på forskellige processer, herunder processer, der kører i øjeblikket, og processer, der er blevet afsluttet. Ud over procesnavnet kan du se yderligere oplysninger om processen, f.eks. proces-ID'et, navnet på den overordnede proces og processens kommandolinje. Ved at sammenholde disse oplysninger med trusselsfeeds kan du få øje på skadelige softwareinstallationer eller malwareangreb.
EventLog Analyzer kan hjælpe dig med at opdage og undersøge forskellige teknikker, der anvendes af malware. For eksempel ændrer malware normalt tidsstempler for oprettelse af filer for at skjule sine spor. Med EventLog Analyzers rapporter om filovervågning kan du analysere filændringer i realtid. En anden almindelig teknik, der bruges af malware, er at bruge navngivne pipes til kommunikation mellem processer. EventLog Analyzers proces overvågningsrapporter kan hjælpe dig med at overvåge sysmonhændelseslogfiler, der genereres, når en pipe oprettes eller forbindes.
Ved at integrere EventLog Analyzer med MITRE ATT&CK-strukturen kan du analysere sysmonlogfiler for at opdage skadelige aktiviteter som angreb med eskalering af rettigheder. Ved at overvåge procesoprettelser kan man f.eks. opdage angribere, der forsøger at omgå brugeradgangskontrolmekanismer for at eskalere procesrettighederne i et system.
Med EventLog Analyzer kan du overvåge oprettelse af filer og streams. Filoprettelse logføres, når en fil er blevet oprettet eller overskrevet. Du kan også overvåge læsning fra et drev ved hjælp af rapporten Rå læseadgang. Det kan hjælpe dig med at forhindre dataudtrækningsangreb på disse filer. Med EventLog Analyzers rapport Oprettelse af filstream kan du overvåge, hvornår en filstream oprettes, og holde øje med visse slags malware, der leverer deres eksekverbare filer eller konfigurationsindstillinger via browserdownloads.
Med EventLog Analyzers dybdegående sysmonloganalysefunktioner kan du overvåge netværksforbindelser og få indsigt i hver forbindelses proces-ID, kilde-IP-adresse, kilde- og destinationsporte og meget mere. Du kan også analysere logfiler, der genereres, når en proces udfører en DNS-forespørgsel, uanset resultatet (vellykket, mislykket eller cachelagret).
Nogle gange indleder angribere et angreb ved at ændre registreringsdatabasen, så de kan starte skadelige programmer. Med EventLog Analyzer kan du f.eks. overvåge ændringer af nøgler og værdier i registreringsdatabasen.
Du kan også overvåge en sysmontjenestes tilstand ved hjælp af rapporten Ændring af tjenesters tilstand, som fortæller dig, om tjenesten kører eller er stoppet, samt dens versionsnummer.
Nogle gange indleder angribere et angreb ved at ændre registreringsdatabasen, så de kan starte skadelige programmer. Med EventLog Analyzer kan du f.eks. overvåge ændringer af nøgler og værdier i registreringsdatabasen.
Du kan også overvåge en sysmontjenestes tilstand ved hjælp af rapporten Ændring af tjenesters tilstand, som fortæller dig, om tjenesten kører eller er stoppet, samt dens versionsnummer.
Opdag og afværg angreb på dine IIS- og Apache-webservere ved hjælp af EventLog Analyzer. Den giver dig også omfattende, grafiske rapporter om fejlhændelser, sikkerhedsangreb, forbrugsanalyse og meget mere.
Sammenhold procesoprettelses- eller procesændringshændelser med threat intelligence eller andre sikkerhedshændelser for at opdage angreb hurtigt.
Sysmon-logfiler kan være placeret i følgende filsti:
C:\Windows\System32\winevt\Logs\.
I Logbog kan du se sysmon-logfiler i Program- og tjenestelogfiler > Microsoft > Windows > Sysmon.
Sysmon-hændelses-ID'er at overvåge:
For at overvåge sysmon-logfiler i EventLog Analyzer kan enheder, der har sysmon installeret, tilføjes ved at navigere til Indstillinger > Konfiguration > Administrer programkilder.
Sysmon er en Windows-systemenhed designet til at give detaljerede oplysninger om Windows-systemaktiviteter i realtid, hvilket inkluderer procesoprettelser, netværksforbindelser og ændringer af filoprettelsestidspunkt. Den fungerer som Windows-tjeneste og enhedsdriver, som starter automatisk med Windows, når den er installeret og konfigureret. Den sikrer, at overvågningen fortsætter gennem genstart af systemet og er tilgængelig fra systemstart til nedlukning. Den kan give brugeren en forståelse af system- og brugeradfærd, hvilket senere kan bruges til at opdage angreb, opdage anomalier og foretage forensisk analyse.
Sysmon kan bruges til at overvåge og logføre en lang række systemaktiviteter, herunder oprettelse og afslutning af processer, netværksforbindelser, ændringer af filer og registreringsdatabasen, DNS-forespørgsler og så videre. Det kan bruges til at opdage og undersøge malwareinfektioner og spore angribernes adfærd. Sysmon-logfiler er en stor hjælp til at få indsigt i, hvordan systemerne bruges.
Sysmon-logfiler forbedrer synligheden af dit netværk ved at give detaljerede oplysninger om en lang række systemaktiviteter. Denne omfattende logføring kan hjælpe dig med at identificere uregelmæssigheder og mistænkelig adfærd, der kan være tegn på et sikkerhedsbrud. Desuden kan sysmon-logfiler integreres effektivt med løsninger til logadministration for at give et centraliseret overblik over sikkerhedshændelser i hele dit netværk, hvilket kan hjælpe dig med at sammenholde hændelser fra forskellige kilder, identificere potentielle trusler og strømline reaktionen på hændelser.