Sysmon v14.12

Nach Mark Russinovich und Thomas Garnier

Veröffentlicht: 10. November 2022

Sysmon herunterladen(4,6 MB)

Herunterladen von Sysmon für Linux (GitHub)

Einführung

Der Systemmonitor (Sysmon) ist ein Windows-Systemdienst und -Gerätetreiber, der nach der Installation auf einem System über Systemneustarts hinweg resident bleibt, um die Systemaktivität zu überwachen und im Windows-Ereignisprotokoll zu protokollieren. Er enthält ausführliche Informationen zu Prozesserstellungen, Netzwerkverbindungen und Änderungen an der Dateierstellungszeit. Indem Sie die generierten Ereignisse mithilfe von Windows-Ereignissammlung oder SIEM-Agents sammeln und anschließend analysieren, können Sie schädliche oder anomale Aktivitäten identifizieren und verstehen, wie Eindringlinge und Schadsoftware in Ihrem Netzwerk funktionieren.

Beachten Sie, dass Sysmon weder eine Analyse der generierten Ereignisse bereitstellt noch versucht, sich vor Angreifern zu schützen oder zu verbergen.

Übersicht über Sysmon-Funktionen

Sysmon umfasst die folgenden Funktionen:

  • Protokolliert die Prozesserstellung mit der vollständigen Befehlszeile für aktuelle und übergeordnete Prozesse.
  • Zeichnet den Hash von Prozessimagedateien mit SHA1 (Standard), MD5, SHA256 oder IMPHASH auf.
  • Mehrere Hashes können gleichzeitig verwendet werden.
  • Schließt eine Prozess-GUID in Prozesserstellungsereignisse ein, um die Korrelation von Ereignissen auch dann zu ermöglichen, wenn Windows Prozess-IDs wiederverwendet.
  • Enthält in jedem Ereignis eine Sitzungs-GUID, um die Korrelation von Ereignissen in derselben Anmeldesitzung zu ermöglichen.
  • Protokolliert das Laden von Treibern oder DLLs mit ihren Signaturen und Hashes.
  • Protokolle werden für den Rohlesezugriff von Datenträgern und Volumes geöffnet.
  • Protokolliert optional Netzwerkverbindungen, einschließlich des Quellprozesses der einzelnen Verbindungen, IP-Adressen, Portnummern, Hostnamen und Portnamen.
  • Erkennt Änderungen an der Dateierstellungszeit, um zu verstehen, wann eine Datei wirklich erstellt wurde. Die Änderung von Zeitstempeln für die Dateierstellung ist eine Technik, die häufig von Schadsoftware verwendet wird, um ihre Spuren zu verdecken.
  • Die Konfiguration wird automatisch neu geladen, wenn sie in der Registrierung geändert wird.
  • Regelfilterung, um bestimmte Ereignisse dynamisch einzu- oder auszuschließen.
  • Generiert Ereignisse aus einem frühen Startprozess, um Aktivitäten zu erfassen, die von selbst komplexer Kernelmodus-Schadsoftware vorgenommen werden.

Screenshots

EventViewer

Verbrauch

Häufige Verwendung mit einfachen Befehlszeilenoptionen zum Installieren und Deinstallieren von Sysmon sowie zum Überprüfen und Ändern der Konfiguration:

Installieren: sysmon64 -i [<configfile>]
Aktualisieren der Konfiguration: sysmon64 -c [<configfile>]
Ereignismanifest installieren: sysmon64 -m
Druckschema: sysmon64 -s
Deinstallieren: sysmon64 -u [force]

Parameter BESCHREIBUNG
-i Installieren Sie den Dienst und den Treiber. Verwenden Sie optional eine Konfigurationsdatei.
-c Aktualisieren Sie die Konfiguration eines installierten Sysmon-Treibers, oder sichern Sie die aktuelle Konfiguration, wenn kein anderes Argument angegeben wird. Verwendet optional eine Konfigurationsdatei.
-m Installieren Sie das Ereignismanifest (implizit auch bei der Dienstinstallation).
-s Definition des Druckkonfigurationsschemas.
-u Deinstallieren Sie den Dienst und den Treiber. Die Verwendung -u force von führt dazu, dass die Deinstallation auch dann fortgesetzt wird, wenn einige Komponenten nicht installiert sind.

Der Dienst protokolliert Ereignisse sofort, und der Treiber wird als Starttreiber installiert, um Aktivitäten zu erfassen, die der Dienst beim Starten in das Ereignisprotokoll schreibt.

Unter Vista und höher werden Ereignisse in Applications and Services Logs/Microsoft/Windows/Sysmon/Operationalgespeichert. Auf älteren Systemen werden Ereignisse in das System Ereignisprotokoll geschrieben.

Wenn Sie weitere Informationen zu Konfigurationsdateien benötigen, verwenden Sie den -? config Befehl.

Geben Sie an -accepteula , dass die LIZENZbedingungen bei der Installation automatisch akzeptiert werden sollen. Andernfalls werden Sie interaktiv aufgefordert, sie zu akzeptieren.

Weder die Installation noch die Deinstallation erfordert einen Neustart.

Beispiele

Installieren mit Standardeinstellungen (Prozessimages mit SHA1-Hash und ohne Netzwerküberwachung)

sysmon -accepteula -i

Installieren von Sysmon mit einer Konfigurationsdatei (wie unten beschrieben)

sysmon -accepteula -i c:\windows\config.xml

Deinstallieren

sysmon -u

Sichern der aktuellen Konfiguration

sysmon -c

Konfigurieren eines aktiven Sysmon mit einer Konfigurationsdatei (wie unten beschrieben)

sysmon -c c:\windows\config.xml

Ändern der Konfiguration in Standardeinstellungen

sysmon -c --

Anzeigen des Konfigurationsschemas

sysmon -s

Ereignisse

Unter Vista und höher werden Ereignisse in Applications and Services Logs/Microsoft/Windows/Sysmon/Operationalgespeichert, und auf älteren Systemen werden Ereignisse in das System Ereignisprotokoll geschrieben. Ereigniszeitstempel befinden sich in der UTC-Normalzeit.

Im Folgenden finden Sie Beispiele für jeden Ereignistyp, der von Sysmon generiert wird.

Ereignis-ID 1: Prozesserstellung

Das Prozesserstellungsereignis stellt erweiterte Informationen zu einem neu erstellten Prozess bereit. Die vollständige Befehlszeile stellt kontextbezogene Informationen zur Prozessausführung bereit. Das ProcessGUID Feld ist ein eindeutiger Wert für diesen Prozess in einer Domäne, um die Ereigniskorrelation zu vereinfachen. Der Hash ist ein vollständiger Hash der Datei mit den Algorithmen im HashType Feld.

Ereignis-ID 2: Ein Prozess hat die Erstellungszeit einer Datei geändert.

Das Änderungsdateierstellungszeitereignis wird registriert, wenn eine Dateierstellungszeit explizit von einem Prozess geändert wird. Dieses Ereignis hilft beim Nachverfolgen der echtzeitbasierten Erstellungszeit einer Datei. Angreifer können die Dateierstellungszeit einer Hintertür so ändern, dass sie so aussieht, als ob sie mit dem Betriebssystem installiert wurde. Beachten Sie, dass viele Prozesse die Erstellungszeit einer Datei legitim ändern. Es weist nicht unbedingt auf böswillige Aktivitäten hin.

Ereignis-ID 3: Netzwerkverbindung

Das Netzwerkverbindungsereignis protokolliert TCP/UDP-Verbindungen auf dem Computer. Diese Einstellung ist standardmäßig deaktiviert. Jede Verbindung ist über die ProcessId Felder und ProcessGuid mit einem Prozess verknüpft. Das Ereignis enthält außerdem die IP-Adressen, Portnummern und den IPv6-Status des Quell- und Zielhostnamens.

Ereignis-ID 4: Sysmon-Dienststatus geändert

Das Dienstzustandsänderungsereignis meldet den Status des Sysmon-Diensts (gestartet oder beendet).

Ereignis-ID 5: Prozess beendet

Das Ereignis zum Beenden des Prozesses meldet, wenn ein Prozess beendet wird. Sie stellt die UtcTime, ProcessGuid und ProcessId des Prozesses bereit.

Ereignis-ID 6: Treiber geladen

Die geladenen Treiberereignisse stellen Informationen zu einem Treiber bereit, der auf das System geladen wird. Die konfigurierten Hashes werden sowie Signaturinformationen bereitgestellt. Die Signatur wird aus Leistungsgründen asynchron erstellt und gibt an, ob die Datei nach dem Laden entfernt wurde.

Ereignis-ID 7: Bild geladen

Das vom Bild geladene Ereignisprotokoll, wenn ein Modul in einem bestimmten Prozess geladen wird. Dieses Ereignis ist standardmäßig deaktiviert und muss mit der Option "–l" konfiguriert werden. Es gibt den Prozess an, in dem das Modul geladen wird, Hashes und Signaturinformationen. Die Signatur wird aus Leistungsgründen asynchron erstellt und gibt an, ob die Datei nach dem Laden entfernt wurde. Dieses Ereignis sollte sorgfältig konfiguriert werden, da die Überwachung aller Bildladeereignisse eine erhebliche Menge an Protokollierung generiert.

Ereignis-ID 8: CreateRemoteThread

Das CreateRemoteThread Ereignis erkennt, wenn ein Prozess einen Thread in einem anderen Prozess erstellt. Diese Technik wird von Schadsoftware verwendet, um Code einzuschleusen und in anderen Prozessen auszublenden. Das -Ereignis gibt den Quell- und Zielprozess an. Sie enthält Informationen zum Code, der im neuen Thread ausgeführt wird: StartAddress, StartModule und StartFunction. Beachten Sie, dass StartModule Felder und StartFunction abgeleitet werden. Sie können leer sein, wenn sich die Startadresse außerhalb geladener Module oder bekannter exportierter Funktionen befindet.

Ereignis-ID 9: RawAccessRead

Das RawAccessRead Ereignis erkennt, wenn ein Prozess Lesevorgänge aus dem Laufwerk mithilfe der \\.\ -Bezeichnung durchführt. Diese Technik wird häufig von Schadsoftware für die Datenexfiltration von Dateien verwendet, die zum Lesen gesperrt sind, sowie zur Vermeidung von Dateizugriffsüberwachungstools. Das Ereignis gibt den Quellprozess und das Zielgerät an.

Ereignis-ID 10: ProcessAccess

Der Prozess, auf das zugegriffen wurde, meldet, wenn ein Prozess einen anderen Prozess öffnet, einem Vorgang, auf den häufig Informationsabfragen oder das Lesen und Schreiben des Adressraums des Zielprozesses folgen. Dies ermöglicht die Erkennung von Hackertools, die die Speicherinhalte von Prozessen wie local Security Authority (Lsass.exe) lesen, um Anmeldeinformationen für die Verwendung bei Pass-the-Hash-Angriffen zu stehlen. Die Aktivierung kann erhebliche Mengen an Protokollierung generieren, wenn Diagnoseprogramme aktiv sind, die Prozesse wiederholt öffnen, um ihren Zustand abzufragen. Daher sollte dies in der Regel nur mit Filtern erfolgen, die erwartete Zugriffe entfernen.

Ereignis-ID 11: FileCreate

Dateierstellungsvorgänge werden protokolliert, wenn eine Datei erstellt oder überschrieben wird. Dieses Ereignis ist nützlich für die Überwachung von Autostartspeicherorten, z. B. dem Ordner "Startup", sowie temporären Verzeichnissen und Downloadverzeichnissen, die häufige Orte sind Malware-Tropfen während der ersten Infektion.

Ereignis-ID 12: RegistryEvent (Objekt erstellen und löschen)

Registrierungsschlüssel- und Werterstellungs- und Löschvorgänge sind diesem Ereignistyp zugeordnet, der für die Überwachung von Änderungen an Automatischstartspeicherorten der Registrierung oder für bestimmte Änderungen an der Malwareregistrierung nützlich sein kann.

Sysmon verwendet abgekürzte Versionen von Registrierungsstammschlüsselnamen mit den folgenden Zuordnungen:

Schlüsselname Abkürzung
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR

Ereignis-ID 13: RegistryEvent (Value Set)

Dieser Registrierungsereignistyp identifiziert Änderungen des Registrierungswerts. Das -Ereignis zeichnet den Wert auf, der für Registrierungswerte des Typs DWORD und QWORDgeschrieben wurde.

Ereignis-ID 14: RegistryEvent (Schlüssel- und Wertbenennung)

Umbenennungsvorgänge für Registrierungsschlüssel und Wert werden diesem Ereignistyp zugeordnet, wobei der neue Name des umbenennten Schlüssels oder Werts aufgezeichnet wird.

Ereignis-ID 15: FileCreateStreamHash

Dieses Ereignis protokolliert, wenn ein benannter Dateidatenstrom erstellt wird, und generiert Ereignisse, die den Hash des Inhalts der Datei, der der Stream zugewiesen ist (der unbenannte Stream), sowie den Inhalt des benannten Datenstroms protokollieren. Es gibt Schadsoftwarevarianten, die ihre ausführbaren Dateien oder Konfigurationseinstellungen über Browserdownloads löschen, und dieses Ereignis zielt darauf ab, dies basierend auf dem Browser zu erfassen, der einen Zone.Identifier "Mark of the Web"-Stream anfügt.

Ereignis-ID 16: ServiceConfigurationChange

Dieses Ereignis protokolliert Änderungen in der Sysmon-Konfiguration, z. B. wenn die Filterregeln aktualisiert werden.

Ereignis-ID 17: PipeEvent (Pipe Created)

Dieses Ereignis wird generiert, wenn eine Named Pipe erstellt wird. Schadsoftware verwendet häufig Named Pipes für die prozessübergreifende Kommunikation.

Ereignis-ID 18: PipeEvent (Pipe Connected)

Dieses Ereignis protokolliert, wenn eine Named Pipe-Verbindung zwischen einem Client und einem Server hergestellt wird.

Ereignis-ID 19: WmiEvent (WmiEventFilter-Aktivität erkannt)

Wenn ein WMI-Ereignisfilter registriert wird, bei dem es sich um eine Methode handelt, die von Schadsoftware ausgeführt wird, protokolliert dieses Ereignis den WMI-Namespace, den Filternamen und den Filterausdruck.

Ereignis-ID 20: WmiEvent (WmiEventConsumer-Aktivität erkannt)

Dieses Ereignis protokolliert die Registrierung von WMI-Consumern und zeichnet den Consumernamen, das Protokoll und das Ziel auf.

Ereignis-ID 21: WmiEvent (WmiEventConsumerToFilter-Aktivität erkannt)

Wenn ein Consumer an einen Filter gebunden wird, protokolliert dieses Ereignis den Consumernamen und den Filterpfad.

Ereignis-ID 22: DNSEvent (DNS-Abfrage)

Dieses Ereignis wird generiert, wenn ein Prozess eine DNS-Abfrage ausführt, unabhängig davon, ob das Ergebnis erfolgreich ist oder fehlschlägt, zwischengespeichert oder nicht. Die Telemetriedaten für dieses Ereignis wurden für Windows 8.1 hinzugefügt, sodass sie unter Windows 7 und früher nicht verfügbar sind.

Ereignis-ID 23: FileDelete (Datei löschen archiviert)

Eine Datei wurde gelöscht. Zusätzlich zur Protokollierung des Ereignisses wird die gelöschte Datei auch in gespeichert ArchiveDirectory (standardmäßig C:\Sysmon ). Unter normalen Betriebsbedingungen kann dieses Verzeichnis auf eine unangemessene Größe anwachsen . Siehe Ereignis-ID 26: FileDeleteDetected Für ein ähnliches Verhalten, aber ohne die gelöschten Dateien zu speichern.

Ereignis-ID 24: ClipboardChange (Neuer Inhalt in der Zwischenablage)

Dieses Ereignis wird generiert, wenn sich der Inhalt der Systemablage ändert.

Ereignis-ID 25: ProcessTampering (Imageänderung verarbeiten)

Dieses Ereignis wird generiert, wenn Techniken zum Ausblenden von Prozessen wie "hollow" oder "herpaderp" erkannt werden.

Ereignis-ID 26: FileDeleteDetected (Dateilöschung protokolliert)

Eine Datei wurde gelöscht.

Ereignis-ID 27: FileBlockExecutable

Dieses Ereignis wird generiert, wenn Sysmon die Erstellung ausführbarer Dateien erkennt und blockiert.

Ereignis-ID 28: FileBlockShredding

Dieses Ereignis wird generiert, wenn Sysmon das Löschen von Dateien von Tools wie SDelete erkennt und blockiert.

Ereignis-ID 255: Fehler

Dieses Ereignis wird generiert, wenn in Sysmon ein Fehler aufgetreten ist. Sie können auftreten, wenn das System stark ausgelastet ist und bestimmte Aufgaben nicht ausgeführt werden konnten oder ein Fehler im Sysmon-Dienst vorliegt oder wenn bestimmte Sicherheits- und Integritätsbedingungen nicht erfüllt sind. Sie können alle Fehler im Sysinternals-Forum oder über Twitter (@markrussinovich) melden.

Konfigurationsdateien

Konfigurationsdateien können nach den Konfigurationsswitches -i (Installation) oder -c (Installation) angegeben werden. Sie erleichtern die Bereitstellung einer voreingestellten Konfiguration und das Filtern erfasster Ereignisse.

Eine einfache XML-Konfigurationsdatei sieht wie folgt aus:

<Sysmon schemaversion="4.82">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    <!-- Do not log process termination -->
    <ProcessTerminate onmatch="include" />
    <!-- Log network connection if the destination port equal 443 -->
    <!-- or 80, and process isn't InternetExplorer -->
    <NetworkConnect onmatch="include">
      <DestinationPort>443</DestinationPort>
      <DestinationPort>80</DestinationPort>
    </NetworkConnect>
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplore.exe</Image>
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

Die Konfigurationsdatei enthält ein schemaversion-Attribut für das Sysmon-Tag. Diese Version ist von der Binärversion von Sysmon unabhängig und ermöglicht die Analyse älterer Konfigurationsdateien. Sie können die aktuelle Schemaversion mithilfe der Befehlszeile "-? config" abrufen. Konfigurationseinträge befinden sich direkt unter dem Sysmon Tag und Filter unter dem EventFiltering Tag.

Konfigurationseinträge

Konfigurationseinträge ähneln Befehlszeilenoptionen und enthalten Folgendes:

Konfigurationseinträge umfassen Folgendes:

Eingabe Wert BESCHREIBUNG
ArchiveDirectory String Name der Verzeichnisse in Volumestämmen, in die Dateien verschoben werden, in die kopierte Dateien beim Löschen verschoben werden. Das Verzeichnis ist mit einer System-ACL geschützt (Sie können PsExec über Sysinternals verwenden, um mithilfe von psexec -sid cmdauf das Verzeichnis zuzugreifen. Standardwert: Sysmon
CheckRevocation Boolean Steuert Signatursperrüberprüfungen. Standardwert: True
CopyOnDeletePE Boolean Behält gelöschte ausführbare Imagedateien bei. Standardwert: False
CopyOnDeleteSIDs Zeichenfolgen Durch Trennzeichen getrennte Liste der Konto-SIDs, für die Dateilöschungen beibehalten werden.
CopyOnDeleteExtensions Zeichenfolgen Erweiterungen für Dateien, die beim Löschen beibehalten werden.
CopyOnDeleteProcesses Zeichenfolgen Prozessnamen, für die Dateilöschungen beibehalten werden.
DnsLookup Boolean Steuert die Reverse-DNS-Suche. Standardwert: True
DriverName String Verwendet den angegebenen Namen für Treiber- und Dienstimages.
HashAlgorithms Zeichenfolgen Hashalgorithmus, die auf Hashing angewendet werden sollen. Unterstützte Algorithmen sind MD5, SHA1, SHA256, IMPHASH und * (alle). Standardwert: None

Befehlszeilenoptionen verfügen über einen Konfigurationseintrag, der in der Sysmon-Nutzungsausgabe beschrieben wird. Parameter sind basierend auf dem Tag optional. Wenn ein Befehlszeilenschalter auch ein Ereignis aktiviert, muss es über sein Filtertag konfiguriert werden. Sie können den -s Schalter angeben, damit Sysmon das vollständige Konfigurationsschema ausgibt, einschließlich Ereignistags sowie der Feldnamen und -typen für jedes Ereignis. Hier sehen Sie beispielsweise das Schema für den RawAccessRead Ereignistyp:

<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">  
  <data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="ProcessGuid" inType="win:GUID"/>  
  <data name="ProcessId" inType="win:UInt32" outType="win:PID"/>  
  <data name="Image" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="Device" inType="win:UnicodeString" outType="xs:string"/>  
</event>  

Ereignisfilterungseinträge

Mit der Ereignisfilterung können Sie generierte Ereignisse filtern. In vielen Fällen können Ereignisse laut sein, und es ist nicht möglich, alles zu sammeln. Beispielsweise sind Sie möglicherweise nur für einen bestimmten Prozess an Netzwerkverbindungen interessiert, aber nicht für alle. Sie können die Ausgabe auf dem Host filtern, indem Sie die zu sammelnden Daten reduzieren.

Jedes Ereignis verfügt über ein eigenes Filtertag unter dem Knoten EventFiltering in einer Konfigurationsdatei:

ID Tag Ereignis
1 ProcessCreate Prozesserstellung
2 FileCreateTime Dateierstellungszeit
3 NetworkConnect Netzwerkverbindung erkannt
4 Änderung des Sysmon-Dienststatus (kann nicht gefiltert werden)
5 ProcessTerminate Prozess beendet
6 DriverLoad Treiber geladen
7 ImageLoad Geladenes Bild
8 CreateRemoteThread CreateRemoteThread erkannt
9 RawAccessRead RawAccessRead erkannt
10 ProcessAccess Zugriff auf den Prozess
11 FileCreate Erstellte Datei
12 RegistryEvent Hinzugefügtes oder gelöschtes Registrierungsobjekt
13 RegistryEvent Registrierungswertsatz
14 RegistryEvent Registrierungsobjekt umbenannt
15 FileCreateStreamHash Erstellter Dateistream
16 Sysmon-Konfigurationsänderung (kann nicht gefiltert werden)
17 PipeEvent Named Pipe erstellt
18 PipeEvent Named Pipe verbunden
19 WmiEvent WMI-Filter
20 WmiEvent WMI-Consumer
21 WmiEvent WMI-Consumerfilter
22 DNSQuery DNS-Abfrage
23 FileDelete Datei löschen archiviert
24 ClipboardChange Neuer Inhalt in der Zwischenablage
25 ProcessTampering Imageänderung verarbeiten
26 FileDeleteDetected Datei löschen protokolliert
27 FileBlockExecutable Ausführbare Dateiblockdatei
28 FileBlockShredding Zerkleinern von Dateiblocks

Sie finden diese Tags auch in der Ereignisanzeige unter dem Aufgabennamen.

Der onmatch Filter wird angewendet, wenn Ereignisse übereinstimmen. Sie kann mit dem onmatch Attribut für das Filtertag geändert werden. Wenn der Wert ist "include", bedeutet dies, dass nur übereinstimmene Ereignisse enthalten sind. Wenn es auf "exclude"festgelegt ist, wird das Ereignis eingeschlossen, es sei denn, eine Regel stimmt überein. Sie können sowohl einen Includefiltersatz als auch einen Ausschlussfiltersatz für jede Ereignis-ID angeben, wobei ausschlussbasierte Übereinstimmungen Vorrang haben.

Jeder Filter kann null oder mehr Regeln enthalten. Jedes Tag unter dem Filtertag ist ein Feldname aus dem Ereignis. Regeln, die eine Bedingung für denselben Feldnamen angeben, verhalten sich wie OR-Bedingungen, und solche, die einen anderen Feldnamen angeben, verhalten sich als AND-Bedingungen. Feldregeln können auch Bedingungen verwenden, um einem Wert zu entsprechen. Die Bedingungen sind wie folgt (bei allen wird die Groß-/Kleinschreibung nicht beachtet):

Condition Beschreibung
is Standardwert: Werte sind gleich
ist ein beliebiger Das Feld ist einer der ; durch Trennzeichen getrennten Werte.
ist nicht Die Werte unterscheiden sich.
contains Das Feld enthält diesen Wert.
enthält ein beliebiges Das Feld enthält einen der ; durch Trennzeichen getrennten Werte.
enthält alle Das Feld enthält alle ; durch Trennzeichen getrennten Werte.
Schließt Das Feld enthält diesen Wert nicht.
schließt alle aus Das Feld enthält keinen oder mehrere der ; durch Trennzeichen getrennten Werte.
schließt alle aus Das Feld enthält keine der ; durch Trennzeichen getrennten Werte.
beginnen sie mit Das Feld beginnt mit diesem Wert.
enden mit Das Feld endet mit diesem Wert.
nicht beginnen mit Das Feld beginnt nicht mit diesem Wert.
nicht mit enden Das Feld endet nicht mit diesem Wert.
kleiner als Lexikographischer Vergleich ist kleiner als 00
mehr als Lexikographischer Vergleich ist mehr als 0
image Übereinstimmung mit einem Bildpfad (vollständiger Pfad oder nur Bildname). Beispiel: lsass.exe wird übereinstimmen c:\windows\system32\lsass.exe

Sie können eine andere Bedingung verwenden, indem Sie sie als Attribut angeben. Dadurch wird die Netzwerkaktivität von Prozessen mit iexplore.exe in ihrem Pfad ausgeschlossen:

<NetworkConnect onmatch="exclude">
  <Image condition="contains">iexplore.exe</Image>
</NetworkConnect>

Damit Sysmon meldet, welche Regelabgleichung zum Protokollieren eines Ereignisses geführt hat, fügen Sie Den Regeln Namen hinzu:

<NetworkConnect onmatch="exclude">
  <Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>

Sie können sowohl Include- als auch Ausschlussregeln für dasselbe Tag verwenden, wobei Ausschlussregeln include-Regeln außer Kraft setzen. Innerhalb einer Regel weisen Filterbedingungen OR-Verhalten auf.

In der zuvor gezeigten Beispielkonfiguration verwendet der Netzwerkfilter sowohl eine Ein- als auch eine Ausschlussregel, um Aktivitäten an Port 80 und 443 von allen Prozessen mit Ausnahme der Prozesse zu erfassen, die ihren Namen enthalten iexplore.exe .

Es ist auch möglich, die Art und Weise zu überschreiben, in der Regeln kombiniert werden, indem sie eine Regelgruppe verwenden, die es ermöglicht, den Regel-Kombinationstyp für ein oder mehrere Ereignisse explizit auf AND oder OR festzulegen.

Im folgenden Beispiel wird diese Verwendung veranschaulicht. In der ersten Regelgruppe wird ein Prozesserstellungsereignis generiert, wenn timeout.exe nur mit dem Befehlszeilenargument von 100ausgeführt wird, aber für die Beendigung von ping.exe und timeout.exewird ein Prozessabschlussereignis generiert.

  <EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>

Sysmonherunterladen(4,6 MB)

Wird ausgeführt für:

  • Client: Windows 8.1 und höher.
  • Server: Windows Server 2012 und höher.