System Monitor (Sysmon) är ett tillägg för loggning i Windows som erbjuder detaljerad loggning och fångar säkerhetshändelser som vanligtvis inte registreras som standard. Det ger information om processkapande, nätverksanslutningar, ändringar i filsystem och mycket mer. Att analysera Sysmon-loggar är viktigt för att upptäcka skadliga aktiviteter och säkerhetshot.
ManageEngine EventLog Analyzer, en kraftfull lösning för logghantering, kan centralt samla in och övervaka Sysmon-loggar från alla Windows- och Linux-enheter för att säkerställa slutpunktssäkerhet.
Hur
Hur hjälper EventLog Analyzer till med att övervaka och analysera Sysmon-loggar?
När EventLog Analyzer tar emot loggar från enheter som har Sysmon installerat genererar den automatiskt färdiga rapporter som ger detaljerad information om kritiska händelser i form av intuitiva grafer och diagram.
Process- övervakning
Upptäckt och utredning av skadlig kod
Upptäckt av eskalering av privilegier
Övervakning av filer
Granskning av nätverk
Granskning av registerändringar
Övervaka processkapande för att upptäcka misstänkta installationer
EventLog Analyzer hjälper dig att hålla koll på olika processer, inklusive processer som för närvarande körs samt processer som har avslutats. Förutom processnamnet kan du även se ytterligare information om processen, såsom process-ID, namn på överordnad process och kommandorad för processen. Genom att korrelera denna information med hotflöden kan du upptäcka installationer av skadlig programvara eller attacker med skadlig kod.
Övervaka processkapande för att upptäcka misstänkta installationer
EventLog Analyzer hjälper dig att hålla koll på olika processer, inklusive processer som för närvarande körs samt processer som har avslutats. Förutom processnamnet kan du även se ytterligare information om processen, såsom process-ID, namn på överordnad process och kommandorad för processen. Genom att korrelera denna information med hotflöden kan du upptäcka installationer av skadlig programvara eller attacker med skadlig kod.
Upptäck, utred och stoppa skadlig kod
EventLog Analyzer kan hjälpa dig att upptäcka och utreda olika tekniker som används av skadlig kod. Till exempel ändrar skadlig kod ofta tidsstämplar för skapade filer för att dölja sina spår. Med EventLog Analyzers filgranskningsrapporter kan du analysera filändringar i realtid. En annan vanlig teknik som används av skadlig kod är att använda namngivna pipes för kommunikation mellan processer. EventLog Analyzers processgranskningsrapporter kan hjälpa dig att övervaka Sysmon-loggar som genereras när en pipe skapas eller ansluts.
Upptäck eskalering av privilegier för att stoppa obehörig datatillgång
Genom att integrera EventLog Analyzer med MITRE ATT&CK-ramverket kan du analysera Sysmon-loggar för att upptäcka skadliga aktiviteter såsom attacker med eskalering av privilegier. Genom att övervaka skapandet av processer kan du t.ex. upptäcka angripare som försöker kringgå User Access Control-mekanismer för att höja processers privilegier i ett system.
Övervaka filer för att säkerställa deras integritet
Med EventLog Analyzer kan du övervaka skapandet av filer och strömmar. Filskapande loggas när en fil har skapats eller skrivits över. Du kan även övervaka läsåtgärder som utförs på en enhet med hjälp av rapporten Raw Access Read. Detta kan hjälpa dig att förhindra dataexfiltreringsattacker på dessa filer. Med EventLog Analyzers rapport för skapande av filströmmar kan du övervaka när en filström skapas och hålla koll på viss skadlig kod som placerar sina körbara filer eller konfigurationsinställningar via nedladdningar i webbläsaren.
Granska nätverksenheter och resurser
Med EventLog Analyzers djupgående analys av Sysmon-loggar kan du övervaka nätverksanslutningar och få insyn i varje anslutnings process-ID, källans IP-adress, käll- och destinationsportar med mera. Du kan även analysera loggar som genereras när en process utför en DNS-förfrågan, oavsett resultat (lyckad, misslyckad eller cachad).
Granska register- och konfigurationsändringar
Ibland inleder angripare en attack genom att ändra register för att starta skadliga applikationer. Med EventLog Analyzer kan du övervaka ändringar såsom ändringar av registernycklar och registervärden.
Du kan även övervaka tillståndet för en Sysmon-tjänst med hjälp av rapporten för ändring av tjänstetillstånd, som visar om tjänsten har startats eller stoppats samt dess versionsnummer.
Granska register- och konfigurationsändringar
Ibland inleder angripare en attack genom att ändra register för att starta skadliga applikationer. Med EventLog Analyzer kan du övervaka ändringar såsom ändringar av registernycklar och registervärden.
Du kan även övervaka tillståndet för en Sysmon-tjänst med hjälp av rapporten för ändring av tjänstetillstånd, som visar om tjänsten har startats eller stoppats samt dess versionsnummer.
Andra lösningar som erbjuds av EventLog Analyzer
Hantering av Windows-loggar
Samla in, övervaka och analysera händelseloggdata för att upptäcka skadliga aktiviteter med hjälp av EventLog Analyzer. Den ger dig handlingsbar säkerhetsinformation som kan hjälpa dig att skydda ditt nätverk på ett effektivt sätt.
Syslog-hantering
Förenkla hanteringen av syslog med EventLog Analyzer. Den kan samla in, filtrera och granska syslog-meddelanden från olika källor centralt och skicka varningar i realtid när ett hot upptäcks.
Logganalys för IIS- och Apache-servrar
Upptäck och mildra webbserverattacker på dina IIS- och Apache-webbservrar med hjälp av EventLog Analyzer. Den ger också omfattande grafiska rapporter om felhändelser, säkerhetsattacker, användningsanalyser med mera.
Databasgranskning
Övervaka och analysera aktiviteten på databasservern och få varningar i realtid och detaljerade rapporter om vanliga serverattacker, t.ex. SQL-injektionsattacker och överbelastningsattacker.
Övervakning av nätverksenhet
Förhindra nätverksintrång genom att granska aktiviteter på dina perimeterenheter. Få djupgående insikter i misstänkta nätverkshändelser med hjälp av EventLog Analyzers fördefinierade grafiska rapporter.
Filintegritetsövervakning
Skydda ditt företags känsliga uppgifter från obehörig åtkomst och ändringar med EventLog Analyzer. Få aviseringar i realtid när ovanlig aktivitet upptäcks.
Så här lägger du till Sysmon-loggar för övervakning i EventLog Analyzer
Om du vill övervaka Sysmon-loggar i EventLog Analyzer kan du lägga till enheter som har Sysmon installerat genom att gå till Inställningar > Konfiguration > Hantera programkällor. Klicka här för att lära dig mer.
Vad är Sysmon?
Sysmon är en Windows-systemenhet som är utformad för att ge detaljerad information om Windows-systemaktiviteter i realtid, vilket inkluderar processkapande, nätverksanslutningar och ändringar av tid till filskapande. Den fungerar som en Windows-tjänst och en enhetsdrivrutin som, när den väl är installerad och konfigurerad, startar automatiskt med Windows. Detta säkerställer att övervakningen kvarstår vid omstarter och är tillgänglig från systemstart till avstängning. Detta kan ge användaren en förståelse för system- och användarbeteende, vilket senare kan användas för att upptäcka attacker, identifiera avvikelser och utföra forensisk analys.
Vad används Sysmon till?
Sysmon kan användas för att övervaka och logga en mängd olika systemaktiviteter, t.ex. skapande och avslutande av processer, nätverksanslutningar, fil- och registerändringar, DNS-frågor m.m. Detta kan användas för att upptäcka och utreda infektioner av skadlig kod samt spåra angripares beteende. Sysmon-loggar är till stor hjälp när det gäller att få insikt i hur de befintliga systemen används.
Vilka är fördelarna med att använda Sysmon?
Sysmon-loggar förbättrar insynen i nätverket genom att ge detaljerade insikter i en mängd olika systemaktiviteter. Denna omfattande loggning kan hjälpa dig att identifiera avvikelser och misstänkta beteenden som kan tyda på en säkerhetsöverträdelse. Dessutom kan Sysmon-loggar effektivt integreras med lösningar för logghantering för att ge en centraliserad bild av säkerhetshändelser i hela nätverket, vilket kan hjälpa dig att korrelera händelser från olika källor, identifiera potentiella hot och effektivisera incidentresponsen.
Betyg och omdömen
Erkänd och älskad över hela världen
4,7/5
Fantastisk programvara för händelseövervakning Det bästa med ManageEngine EventLog Analyzer är att gränssnittet är mycket intuitivt och snabbt att förstå.
AdministratörInformationsteknik och tjänster
4,7/5
Utmärkt för att centralisera alla dina Windows-maskiner. Du kan flagga vissa händelser för att utlösa olika åtgärder som du väljer.
Joseph LIT-chef
4,7/5
EventLog Analyzer kan övervaka filintegritet, analysera loggdata, spåra privilegierade användare och granska dataloggar. Programvaran är säker eftersom den använder den senaste krypteringstekniken.
Sophie SeAfrica Solutions, administratör
4,8/5
Jag är mycket nöjd med min erfarenhet av att använda EventLog Analyzer, eftersom den omedelbart efter installationen varnade mitt team om potentiella hot som var nära att attackera servrarna. Dessutom har det minskat det manuella arbetet med mina affärsapplikationer och därmed sparat mycket tid och ansträngning i skyddsprocessen.
KunskapsspecialistKommunikationsbranschen
4,6/5
Bra svit för logghantering. Jag gillade hur lätt det var att konfigurera programvaran. Jag hade alla mina loggar pekandes mot den och flödande smidigt på nolltid. Det gör det mycket enkelt att titta på dina data och få en uppfattning om vad som händer i ditt nätverk.
Anonym
4,7/5
Utmärkt för att centralisera alla dina Windows-maskiner. Du kan flagga vissa händelser för att utlösa olika åtgärder som du väljer.
