- Ключевые основные моменты
- Все возможности
- Управление журналами
- Управление журналами приложений
- Аудит соответствия требованиям в ИТ
- Мониторинг безопасности
- Мониторинг сетевых устройств
- Отчеты о мониторинге системы и пользователей
- Связанные продукты
- Log360 (On-Premise | Cloud) Интегрированная служба SIEM с расширенной аналитикой угроз и анализом поведения пользователей и объектов (UEBA) на базе машинного обучения
- ADManager Plus Управление и отчетность Active Directory, Microsoft 365 и Exchange
- ADAudit Plus Аудит изменений Active Directory, файлов и серверов Windows в режиме реального времени
- ADSelfService Plus Самообслуживание паролей, многофакторная проверка подлинности (MFA) конечных устройств, условный доступ и корпоративный единый вход (SSO)
- DataSecurity Plus Аудит файлов, предотвращение утечки данных и оценка связанных с данными рисков
- Exchange Reporter Plus Отчетность, аудит и мониторинг для гибридной службы Exchange и Skype
- M365 Manager Plus Управление, отчетность и аудит для Microsoft 365
- RecoveryManager Plus Резервное копирование и восстановление для Active Directory, Microsoft 365 и Exchange
- SharePoint Manager Plus Отчетность и аудит SharePoint
- AD360 Управление удостоверениями и доступом работников для гибридных экосистем
Системный монитор (Sysmon) - это надстройка Windows для ведения журналов, которая обеспечивает детальное протоколирование и фиксирует события безопасности, которые обычно не регистрируются по умолчанию. Он предоставляет информацию о создании процессов, сетевых подключениях, изменениях в файловых системах и многом другом. Анализ журналов Sysmon необходим для обнаружения вредоносных действий и угроз безопасности.
ManageEngine EventLog Analyzer - эффективное решение для управления журналами - может централизованно собирать и отслеживать журналы Sysmon со всех устройств Windows и Linux для обеспечения безопасности конечных точек.
Как EventLog Analyzer помогает в мониторинге и анализе журналов Sysmon?
Получая журналы с устройств, на которых установлена служба Sysmon, EventLog Analyzer автоматически генерирует готовые отчеты, которые содержат подробную информацию о критических событиях в виде интуитивно понятных графиков и диаграмм.
Контролируйте создание процессов для выявления подозрительных установок
EventLog Analyzer помогает отслеживать различные процессы, включая процессы, запущенные в данный момент, а также процессы, которые были завершены. Помимо имени процесса также можно просмотреть дополнительную информацию о процессе, такую как идентификатор процесса, имя родительского процесса и его командную строку. Сопоставляя эту информацию с потоками данных об угрозах, вы можете обнаружить установку вредоносного программного обеспечения или атаки вредоносных программ.
Выявляйте, исследуйте и блокируйте вредоносное ПО
EventLog Analyzer поможет вам обнаружить и исследовать различные методы, используемые вредоносным ПО. Например, вредоносное ПО обычно изменяет временные метки создания файлов, чтобы замести следы. С помощью отчетов об аудите файлов в EventLog Analyzer можно анализировать изменения файлов в режиме реального времени. Другой распространенный прием, используемый вредоносными программами, - использование именованных каналов для взаимодействия между процессами. Отчеты об аудите процессов в EventLog Analyzer помогут отследить журналы событий Sysmon, формируемые при создании или подключении канала.
Обнаружение повышения привилегий для предотвращения несанкционированного доступа к данным
Интеграция EventLog Analyzer с платформой MITRE ATT&CK позволяет анализировать журналы Sysmon для обнаружения вредоносных действий, таких как атаки с целью повышения привилегий. Например, отслеживая создание процессов, вы можете обнаружить злоумышленников, которые пытаются обойти механизмы контроля доступа пользователей, чтобы повысить привилегии процессов в системе.
Контролируйте файлы, чтобы гарантировать их целостность
С помощью EventLog Analyzer можно отслеживать операции по созданию файлов и потоков. Операции по созданию файлов будут регистрироваться при создании или перезаписи файла. Вы также можете отслеживать операции чтения, выполняемые на диске, с помощью отчета о чтении необработанных данных с диска. Это может помочь предотвратить атаки, направленные на кражу данных из этих файлов. С помощью отчета EventLog Analyzer "Создание потока файлов" можно отследить момент создания потока файлов и определенные вредоносные программы, которые сбрасывают свои исполняемые файлы или параметры конфигурации через загрузки браузера.
Аудит сетевых устройств и ресурсов
Благодаря возможности глубокого анализа журналов Sysmon в EventLog Analyzer можно контролировать сетевые подключения и получать сведения об идентификаторе процесса каждого подключения, исходном IP-адресе, исходных и целевых портах и многом другом. Также можно анализировать журналы, создаваемые при выполнении процессом DNS-запроса, независимо от его результата (успех, неудача или кэширование).
Аудит изменений реестра и конфигурации
Иногда злоумышленники инициируют атаку, изменяя реестры для запуска вредоносных приложений. С помощью EventLog Analyzer вы можете отслеживать такие изменения, как модификации разделов и значений реестра.
Вы также можете отслеживать состояние службы Sysmon с помощью отчета об изменении состояния службы, который сообщит, была ли служба запущена или остановлена, а также номер ее версии.
Другие решения, предлагаемые EventLog Analyzer
Управление журналами Windows
Собирайте, отслеживайте и анализируйте данные журнала событий для обнаружения вредоносных действий с помощью EventLog Analyzer. Он предоставляет полезную информацию по безопасности, которая поможет эффективно защитить сеть.
Управление системным журналом
Упростите управление системными журналами с помощью EventLog Analyzer. Он может централизованно собирать, фильтровать и проверять сообщения системного журнала, полученные из различных источников, а также выдавать оповещения в режиме реального времени при обнаружении угрозы.
Анализ журналов серверов IIS и Apache
Выявляйте и предотвращайте атаки на свои веб-серверы IIS и Apache с помощью EventLog Analyzer. Решение также предоставляет комплексные графические отчеты об ошибках, атаках на систему безопасности, аналитику использования и многое другое.
Аудит баз данных
Отслеживайте и анализируйте активность сервера базы данных, получайте оповещения в режиме реального времени и подробные отчеты о распространенных атаках на сервер, таких как атаки с использованием внедрения SQL-кода и атаки типа "отказ в обслуживании".
Мониторинг сетевых устройств
Предотвращайте вторжения в сеть, проводя аудит действий на устройствах периметра сети. Получите подробную информацию о подозрительных событиях в сети с помощью готовых графических отчетов EventLog Analyzer.
Мониторинг целостности файлов
Защитите конфиденциальные данные своей компании от несанкционированного доступа и изменений с помощью EventLog Analyzer. Получайте уведомления в режиме реального времени при обнаружении любой необычной активности.
5 причин выбрать EventLog Analyzer для анализа журналов Sysmon
1. Обнаружение атак
Используя эффективный анализ журналов Sysmon, EventLog Analyzer обнаруживает известные шаблоны атак, такие как повышение привилегий и обход защиты.
2. Оптимизация работы сети
Благодаря анализу журналов Sysmon решение EventLog Analyzer помогает оптимизировать сетевой трафик и обнаруживать вредоносный трафик.
3. Сопоставление событий
Сопоставляйте события создания или изменения процессов с данными об угрозах или другими событиями безопасности для обнаружения атак на раннем этапе.
4. Безопасное хранение журналов Sysmon
Надежно архивируйте журналы Sysmon для будущего криминалистического расследования и соблюдения нормативных требований.
5. Криминалистическая экспертиза журналов
Анализируйте сетевые журналы и найдите основную причину нарушения безопасности с помощью мощной поисковой системы по журналам, которую предлагает EventLog Analyzer.
Вопросы и ответы
Файлы журналов Sysmon могут находиться по следующему пути:
C:\Windows\System32\winevt\Logs\.
В средстве просмотра событий можно просмотреть журналы Sysmon в разделе Журналы приложений и служб > Microsoft > Windows > Sysmon.
Идентификаторы событий Sysmon для мониторинга:
- Идентификатор события: 1 Создание процесса
- Идентификатор события: 2 Процесс изменил время создания файла
- Идентификатор события: 3 Сетевое подключение
- Идентификатор события: 4 Состояние службы Sysmon изменилось
- Идентификатор события: 5 Процесс завершен
- Идентификатор события: 6 Загружен драйвер
- Идентификатор события: 7 Загружено изображение
- Идентификатор события: 8 CreateRemoteThread
- Идентификатор события: 9 RawAccessRead
- Идентификатор события: 10 ProcessAccess
- Идентификатор события: 11 FileCreate
- Идентификатор события: 12 RegistryEvent (создание и удаление объекта)
- Идентификатор события: 13 RegistryEvent (задано значение)
Для мониторинга журналов Sysmon в EventLog Analyzer можно добавить устройства, на которых установлена служба Sysmon, перейдя в раздел "Настройки" > "Конфигурация" > "Управление источниками приложений". Нажмите, чтобы узнать подробнее.
Sysmon - это системная служба Windows, предназначенная для предоставления подробной информации о действиях системы Windows в режиме реального времени, включая создание процессов, сетевые подключения и изменения времени создания файлов. Она работает как служба Windows и драйвер устройства, который после установки и настройки запускается автоматически вместе с Windows. Это гарантирует, что мониторинг будет продолжаться при перезагрузке системы и будет доступен с момента запуска системы до ее выключения. Это может дать пользователю понимание работы системы и поведения пользователя, которое впоследствии может быть использовано для обнаружения атак, обнаружения аномалий и криминалистического анализа.
Sysmon можно использовать для мониторинга и регистрации широкого спектра действий в системе, включая создание и завершение процессов, сетевые подключения, изменения файлов и реестра, DNS-запросы и т. д. Эту информацию можно использовать для обнаружения и расследования заражений вредоносным ПО, а также отслеживания поведения злоумышленников. Журналы Sysmon оказывают большую помощь в получении информации об использовании имеющихся систем.
Журналы Sysmon позволяют лучше понять, что происходит в сети, предоставляя подробную информацию о широком спектре действий в системе. Такое комплексное ведение журналов помогает выявлять аномалии и подозрительное поведение, которые могут указывать на нарушение безопасности. Более того, журналы Sysmon можно эффективно интегрировать с решениями по управлению журналами, чтобы обеспечить централизованное представление событий безопасности в сети, что может помочь в сопоставлении событий из разных источников, выявлении потенциальных угроз и оптимизации реагирования на инциденты.