Sysmon v15.14
By Mark Russinovich and and Thomas Garnier
Közzétéve: 2024. február 13.
Sysmon letöltése (4,6 MB)
Sysmon letöltése Linuxhoz (GitHub)
Bevezetés
A System Monitor (Sysmon) egy Windows rendszerszolgáltatás és eszközillesztő, amely a rendszeren való telepítés után a rendszer újraindításai között állandó marad a rendszertevékenységek figyeléséhez és naplózásához a Windows eseménynaplójában. Részletes információkat nyújt a folyamatlétrehozásról, a hálózati kapcsolatokról és a fájllétrehozási idő módosításáról. Az általa létrehozott események windowsos eseménygyűjtemény vagy SIEM-ügynökök használatával történő gyűjtésével, majd elemzésével azonosíthatja a rosszindulatú vagy rendellenes tevékenységeket, és megértheti, hogyan működnek a betolakodók és a kártevők a hálózaton. A szolgáltatás védett folyamatként fut, így számos felhasználói módú interakciót tilt le.
Vegye figyelembe, hogy a Sysmon nem nyújt elemzést az általa létrehozott eseményekről, és nem próbálja elrejteni magát a támadók elől.
A Sysmon képességeinek áttekintése
A Sysmon a következő képességeket tartalmazza:
- Naplózza a folyamatlétrehozás folyamatát az aktuális és a szülőfolyamatok teljes parancssorával.
- A képfájlok kivonatát az SHA1 (alapértelmezett), az MD5, az SHA256 vagy az IMPHASH használatával rögzíti.
- Egyszerre több kivonat is használható.
- Folyamatazonosítót tartalmaz a folyamat-létrehozási eseményekhez, amelyek lehetővé teszik az események korrelációját még akkor is, ha a Windows újra felhasználja a folyamatazonosítókat.
- Minden eseményhez tartalmaz egy munkamenet-GUID azonosítót, amely lehetővé teszi az események korrelációját ugyanazon a bejelentkezési munkameneten.
- Naplózza az illesztőprogramok vagy DLL-ek betöltését aláírásukkal és kivonatukkal.
- A naplók megnyílnak a lemezek és kötetek nyers olvasási hozzáféréséhez.
- Szükség esetén naplózza a hálózati kapcsolatokat, beleértve az egyes kapcsolatok forrásfolyamatait, IP-címeit, portszámait, gazdagépneveit és portneveit.
- Észleli a fájllétrehozás idejének változásait, hogy megértse, mikor jött létre a fájl. A fájllétrehozási időbélyegek módosítása a kártevők által gyakran használt módszer a nyomok lefedésére.
- A beállításjegyzék módosítása esetén a konfiguráció automatikus újratöltése.
- Szabályszűrés bizonyos események dinamikus belefoglalásához vagy kizárásához.
- Eseményeket hoz létre a rendszerindítási folyamat korai szakaszából, hogy rögzítse a még kifinomult kernelmódú kártevők által végzett tevékenységeket.
Képernyőképek
Használat
A Sysmon telepítésére és eltávolítására, valamint a konfiguráció ellenőrzésére és módosítására szolgáló egyszerű parancssori lehetőségek gyakori használata:
Telepíteni: sysmon64 -i [<configfile>]
Frissítési konfiguráció: sysmon64 -c [<configfile>]
Eseményjegyzék telepítése: sysmon64 -m
Nyomtatási séma: sysmon64 -s
Uninstall: sysmon64 -u [force]
| Paraméter | Leírás |
|---|---|
| -i | Telepítse a szolgáltatást és az illesztőprogramot. Igény szerint vegyen fel egy konfigurációs fájlt. |
| -C | Frissítse a telepített Sysmon-illesztőprogram konfigurációját, vagy ha nincs más argumentum, akkor az aktuális konfigurációt dobja ki. Opcionálisan egy konfigurációs fájlt is igénybe vehet. |
| -M | Telepítse az eseményjegyzéket (implicit módon a szolgáltatás telepítésekor is). |
| -S | A konfigurációs séma definíciójának nyomtatása. |
| -U | Távolítsa el a szolgáltatást és az illesztőprogramot. Az -u force eltávolítás akkor is folytatódik, ha egyes összetevők nincsenek telepítve. |
A szolgáltatás azonnal naplózza az eseményeket, és az illesztőprogram rendszerindítási illesztőprogramként települ, hogy a rendszerindítás korai szakaszától rögzítse azokat a tevékenységeket, amelyeket a szolgáltatás az eseménynaplóba ír az indításkor.
Vista és újabb verziók esetén az események tárolása a következő helyen Applications and Services Logs/Microsoft/Windows/Sysmon/Operationaltörténik: .
Régebbi rendszereken az események az System eseménynaplóba lesznek írva.
Ha további információra van szüksége a konfigurációs fájlokról, használja a -? config parancsot.
Adja meg -accepteula , hogy a telepítéskor automatikusan elfogadja-e az EULA-t, ellenkező esetben a rendszer interaktívan kéri annak elfogadását.
Sem a telepítés, sem az eltávolítás nem igényel újraindítást.
Példák
Telepítés alapértelmezett beállításokkal (sha1 kivonatolt folyamatképek, hálózati monitorozás nélkül)
sysmon -accepteula -i
A Sysmon telepítése konfigurációs fájllal (az alábbiak szerint)
sysmon -accepteula -i c:\windows\config.xml
Eltávolítás
sysmon -u
Az aktuális konfiguráció memóriaképe
sysmon -c
Aktív Sysmon újrakonfigurálása konfigurációs fájllal (az alábbiak szerint)
sysmon -c c:\windows\config.xml
A konfiguráció módosítása alapértelmezett beállításokra
sysmon -c --
A konfigurációs séma megjelenítése
sysmon -s
Események
Vista és újabb rendszereken az eseményeket a rendszer tárolja Applications and Services Logs/Microsoft/Windows/Sysmon/Operational, a régebbi rendszerek eseményeit pedig az System eseménynaplóba írja.
Az esemény időbélyegei utc-ben vannak megadva.
Az alábbi példák a Sysmon által létrehozott eseménytípusokra mutatnak be példákat.
1. eseményazonosító: Folyamat létrehozása
A folyamatlétrehozás eseménye kiterjesztett információkat nyújt egy újonnan létrehozott folyamatról. A teljes parancssor kontextust biztosít a folyamat végrehajtásához. A ProcessGUID mező a tartományon belüli folyamat egyedi értéke az eseménykorreláció megkönnyítése érdekében. A kivonat a fájl teljes kivonata a mező algoritmusaival HashType .
2. eseményazonosító: Egy folyamat módosította a fájllétrehozás idejét
A módosítási fájllétrehozás idő eseménye akkor lesz regisztrálva, ha egy folyamat explicit módon módosítja a fájllétrehozás idejét. Ez az esemény segít nyomon követni egy fájl valós létrehozási idejét. A támadók módosíthatják a háttérrendszer fájllétrehozási idejét, hogy úgy tűnjön, mintha az operációs rendszerrel lett volna telepítve. Vegye figyelembe, hogy számos folyamat jogszerűen módosítja a fájlok létrehozási idejét; nem feltétlenül jelez kártékony tevékenységet.
3. eseményazonosító: Hálózati kapcsolat
A hálózati kapcsolat esemény naplózza a TCP/UDP-kapcsolatokat a gépen. Ez alapértelmezés szerint le van tiltva. Minden kapcsolat egy folyamathoz kapcsolódik a ProcessId mezőkön ProcessGuid keresztül. Az esemény tartalmazza a forrás- és cél állomásneveket, az IP-címeket, a portszámokat és az IPv6-állapotot is.
4. eseményazonosító: A Sysmon szolgáltatás állapota megváltozott
A szolgáltatásállapot-változási esemény a Sysmon szolgáltatás állapotát jelenti (elindult vagy leállt).
5. eseményazonosító: A folyamat leállt
A folyamat leállítja az eseményjelentéseket, amikor egy folyamat leáll. Ez biztosítja a UtcTimefolyamat ProcessGuid és ProcessId a folyamat.
6. eseményazonosító: Illesztőprogram betöltve
Az illesztőprogram által betöltött események információt nyújtanak a rendszerbe betöltött illesztőprogramról. A konfigurált kivonatok és az aláírási adatok is meg vannak adva. Az aláírás teljesítménybeli okokból aszinkron módon jön létre, és jelzi, hogy a fájl a betöltés után el lett-e távolítva.
7. eseményazonosító: Kép betöltve
A rendszerképbe betöltött eseménynaplók akkor naplóznak, amikor egy modul egy adott folyamatba van betöltve. Ez az esemény alapértelmezés szerint le van tiltva, és a "–l" beállítással kell konfigurálni. Jelzi a modul betöltésének folyamatát, a kivonatokat és az aláírási adatokat. Az aláírás teljesítménybeli okokból aszinkron módon jön létre, és jelzi, hogy a fájl a betöltés után el lett-e távolítva. Ezt az eseményt körültekintően kell konfigurálni, mivel az összes képbetöltési esemény monitorozása jelentős mennyiségű naplózást eredményez.
8. eseményazonosító: CreateRemoteThread
Az CreateRemoteThread esemény észleli, ha egy folyamat létrehoz egy szálat egy másik folyamatban. Ezt a technikát használják a kártevők kód injektálására és elrejtésére más folyamatokban. Az esemény a forrás- és célfolyamatot jelzi. Információt ad az új szálon futtatandó kódról: StartAddressés StartModuleStartFunction. Vegye figyelembe, hogy a StartModule mezők és StartFunction a kikövetkeztetett mezők üresek lehetnek, ha a kezdőcím a betöltött modulokon vagy az ismert exportált függvényeken kívül esik.
9. eseményazonosító: RawAccessRead
Az RawAccessRead esemény észleli, ha egy folyamat olvasási műveleteket végez a meghajtóról a \\.\ denotation használatával. Ezt a technikát gyakran használják kártevők az olvasásra zárolt fájlok adatkiszivárgásához, valamint a fájlhozzáférési naplózási eszközök elkerüléséhez. Az esemény a forrásfolyamatot és a céleszközt jelzi.
10.eseményazonosító: ProcessAccess
A folyamat akkor fért hozzá az eseményjelentésekhez, amikor egy folyamat egy másik folyamatot nyit meg, egy olyan műveletet, amelyet gyakran követnek információs lekérdezések, vagy a célfolyamat címterének olvasása és írása. Ez lehetővé teszi olyan feltörési eszközök észlelését, amelyek beolvassák az olyan folyamatok memóriatartalmát, mint a Helyi biztonsági hatóság (Lsass.exe), hogy ellopják a hitelesítő adatokat a Pass-the-Hash támadásokban való használathoz. Az engedélyezés jelentős mennyiségű naplózást eredményezhet, ha vannak olyan aktív diagnosztikai segédprogramok, amelyek ismétlődően megnyitják a folyamatokat az állapotuk lekérdezéséhez, ezért általában csak olyan szűrőkkel kell elvégezni, amelyek eltávolítják a várt hozzáférést.
Eseményazonosító 11: FileCreate
A fájl létrehozásakor vagy felülírásakor a rendszer naplózza a fájl-létrehozási műveleteket. Ez az esemény hasznos az automatikus indítási helyek, például az Indítás mappa, valamint az ideiglenes és letöltési könyvtárak figyeléséhez, amelyek gyakori helyek, ahol a kártevők a kezdeti fertőzés során elesnek.
Eseményazonosító 12: RegistryEvent (Objektum létrehozása és törlése)
A beállításkulcs és az érték ehhez az eseménytípushoz rendeli hozzá a beállításkulcs- és érték-létrehozási és -törlési műveletek leképezését, amely hasznos lehet a beállításjegyzék automatikus indítási helyeinek változásainak vagy adott kártevőregisztrációs adatbázis módosításának figyeléséhez.
A Sysmon a beállításjegyzék gyökérkulcsainak rövidített verzióit használja a következő leképezésekkel:
| Kulcs neve | Rövidítés |
|---|---|
HKEY_LOCAL_MACHINE |
HKLM |
HKEY_USERS |
HKU |
HKEY_LOCAL_MACHINE\System\ControlSet00x |
HKLM\System\CurrentControlSet |
HKEY_LOCAL_MACHINE\Classes |
HKCR |
Eseményazonosító 13: RegistryEvent (Értékkészlet)
Ez a beállításjegyzék-eseménytípus azonosítja a beállításjegyzék értékének módosításait. Az esemény rögzíti a beállításjegyzék típusú DWORD és QWORDa .
Eseményazonosító 14: RegistryEvent (Kulcs és érték átnevezése)
A beállításkulcs és az érték átnevezése művelet megfelel erre az eseménytípusra, rögzítve az átnevezett kulcs vagy érték új nevét.
15-ös eseményazonosító: FileCreateStreamHash
Ez az esemény naplózza egy névvel ellátott fájlstream létrehozásakor, és olyan eseményeket hoz létre, amelyek naplózják annak a fájlnak a kivonatát, amelyhez a stream hozzá van rendelve (a névtelen stream), valamint a névvel ellátott stream tartalmát. Vannak olyan kártevővariánsok, amelyek böngészőletöltések segítségével elvetik a végrehajtható fájlokat vagy a konfigurációs beállításokat, és ez az esemény a böngésző "webes jelének" streamet csatoló Zone.Identifier böngésző alapján történő rögzítésére irányul.
16-os eseményazonosító: ServiceConfigurationChange
Ez az esemény naplózza a Sysmon-konfiguráció változásait – például a szűrési szabályok frissítésekor.
Eseményazonosító 17: Pipeevent (Pipe Created)
Ez az esemény egy elnevezett cső létrehozásakor jön létre. A kártevők gyakran nevesített csöveket használnak a folyamatok közötti kommunikációhoz.
18- os eseményazonosító: Pipeevent (pipe Csatlakozás ed)
Ez az esemény naplózza, ha elnevezett csőkapcsolat jön létre egy ügyfél és egy kiszolgáló között.
19- eseményazonosító: WmiEvent (WmiEventFilter-tevékenység észlelhető)
Ha egy WMI-eseményszűrő regisztrálva van, amely a kártevők által a végrehajtáshoz használt módszer, ez az esemény naplózza a WMI-névteret, a szűrő nevét és a szűrőkifejezést.
20. eseményazonosító: WmiEvent (WmiEventConsumer-tevékenység észlelhető)
Ez az esemény naplózza a WMI-felhasználók regisztrációját, rögzítve a fogyasztó nevét, naplóját és célját.
21. eseményazonosító: WmiEvent (WmiEventConsumerToFilter-tevékenység észlelhető)
Amikor egy fogyasztó egy szűrőhöz kapcsolódik, az esemény naplózza a fogyasztó nevét és a szűrő elérési útját.
22. eseményazonosító: DN Standard kiadás vent (DNS-lekérdezés)
Ez az esemény akkor jön létre, amikor egy folyamat végrehajt egy DNS-lekérdezést, függetlenül attól, hogy az eredmény sikeres vagy sikertelen, gyorsítótárazva van-e. Az esemény telemetriáját hozzáadták a Windows 8.1-hez, így windows 7-en és korábbi verziókban nem érhető el.
23- os eseményazonosító: FileDelete (Archivált fájl törlése)
Egy fájl törölve lett. Az esemény naplózása mellett a törölt fájl is a (alapértelmezés szerint) C:\Sysmon fájlba ArchiveDirectory lesz mentve. Normál üzemeltetési körülmények között ez a könyvtár ésszerűtlen méretűre nőhet – lásd a 26-os eseményazonosítót: FileDeleteDetected hasonló működés esetén, de a törölt fájlok mentése nélkül.
24. eseményazonosító: ClipboardChange (Új tartalom a vágólapon)
Ez az esemény akkor jön létre, amikor a rendszer vágólapjának tartalma megváltozik.
25- ös eseményazonosító: ProcessTampering (Folyamatkép módosítása)
Ez az esemény akkor jön létre, ha a folyamat elrejtési technikáit, például "üres" vagy "herpaderp" észleli.
26-os eseményazonosító: FileDeleteDetected (Naplózott fájltörlés)
Egy fájl törölve lett.
27.eseményazonosító: FileBlockExecutable
Ez az esemény akkor jön létre, amikor a Sysmon észleli és letiltja a végrehajtható fájlok létrehozását (PE formátum).
28- os eseményazonosító: FileBlockShredding
Ez az esemény akkor jön létre, amikor a Sysmon észleli és letiltja a fájltöredezést az olyan eszközökről, mint a SDelete.
29.eseményazonosító: FileExecutableDetected
Ez az esemény akkor jön létre, amikor a Sysmon észleli egy új végrehajtható fájl (PE-formátum) létrehozását.
255-ös eseményazonosító: Hiba
Ez az esemény akkor jön létre, ha hiba történt a Sysmonon belül. Ezek akkor fordulhatnak elő, ha a rendszer nagy terhelés alatt áll, és bizonyos feladatok nem hajthatóak végre, vagy hiba lép fel a Sysmon szolgáltatásban, vagy ha bizonyos biztonsági és integritási feltételek nem teljesülnek. Bármilyen hibát jelenthet a Sysinternals fórumán vagy a Twitteren (@markrussinovich).
Konfigurációs fájlok
A konfigurációs fájlok az -i (telepítés) vagy -c (telepítési) konfigurációs kapcsolók után adhatók meg. Megkönnyítik az előre beállított konfiguráció üzembe helyezését és a rögzített események szűrését.
Egy egyszerű konfigurációs XML-fájl a következőképpen néz ki:
<Sysmon schemaversion="4.82">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<!-- Do not log process termination -->
<ProcessTerminate onmatch="include" />
<!-- Log network connection if the destination port equal 443 -->
<!-- or 80, and process isn't InternetExplorer -->
<NetworkConnect onmatch="include">
<DestinationPort>443</DestinationPort>
<DestinationPort>80</DestinationPort>
</NetworkConnect>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplore.exe</Image>
</NetworkConnect>
</EventFiltering>
</Sysmon>
A konfigurációs fájl egy schemaversion attribútumot tartalmaz a Sysmon címkén. Ez a verzió független a Sysmon bináris verziójától, és lehetővé teszi a régebbi konfigurációs fájlok elemzését. Az aktuális sémaverziót a "-? config" parancssor használatával szerezheti be. A konfigurációs bejegyzések közvetlenül a Sysmon címke alatt találhatók, a szűrők pedig a EventFiltering címke alatt.
Konfigurációs bejegyzések
A konfigurációs bejegyzések hasonlóak a parancssori kapcsolókhoz, és tartalmazzák a következőket
A konfigurációs bejegyzések a következőket tartalmazzák:
| Bejegyzés | Érték | Leírás |
|---|---|---|
| ArchiveDirectory | Sztring | Azon kötetgyökerű könyvtárak neve, amelyekbe a vágólapra másolt fájlokat áthelyezi a rendszer. A címtár rendszerszintű ACL-vel van védve (a Sysinternals psExec használatával elérheti a könyvtárat psexec -sid cmd). Alapértelmezett: Sysmon |
| CheckRevocation | Logikai | Szabályozza az aláírások visszavonásának ellenőrzését. Alapértelmezett: True |
| CopyOnDeletePE | Logikai | Megőrzi a törölt végrehajtható képfájlokat. Alapértelmezett: False |
| CopyOnDeleteSIDs | Sztringek | Vesszővel tagolt lista azon fiókazonosítókról, amelyeken a fájltörlések megmaradnak. |
| CopyOnDeleteExtensions | Sztringek | A törléskor megőrzött fájlok bővítményei. |
| CopyOnDeleteProcesses | Sztringek | Azok a folyamatnevek, amelyeknél a fájltörlések megmaradnak. |
| DnsLookup | Logikai | Szabályozza a fordított DNS-keresést. Alapértelmezett: True |
| DriverName | Sztring | A megadott nevet használja az illesztőprogram- és szolgáltatásképekhez. |
| HashAlgorithms | Sztringek | Kivonatoló algoritmus(ok) a kivonatoláshoz. A támogatott algoritmusok közé tartozik az MD5, az SHA1, az SHA256, az IMPHASH és a * (mind). Alapértelmezett: None |
A parancssori kapcsolók konfigurációs bejegyzését a Sysmon használati kimenete ismerteti. A paraméterek nem kötelezőek a címke alapján. Ha egy parancssori kapcsoló egy eseményt is engedélyez, akkor a szűrőcímke ellenére is konfigurálnia kell. Megadhatja a kapcsolót, hogy a -s Sysmon a teljes konfigurációs sémát nyomtassa ki, beleértve az eseménycímkéket, valamint az egyes események mezőnevét és típusait. Az eseménytípus sémája például a RawAccessRead következő:
<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">
<data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>
<data name="ProcessGuid" inType="win:GUID"/>
<data name="ProcessId" inType="win:UInt32" outType="win:PID"/>
<data name="Image" inType="win:UnicodeString" outType="xs:string"/>
<data name="Device" inType="win:UnicodeString" outType="xs:string"/>
</event>
Eseményszűrési bejegyzések
Az eseményszűrés lehetővé teszi a létrehozott események szűrését. Az események sok esetben zajosak lehetnek, és nem lehet mindent összegyűjteni. Előfordulhat például, hogy csak egy bizonyos folyamat hálózati kapcsolatai érdeklik, de nem mindegyiket. Szűrheti a kimenetet a gazdagépen, így csökkentve az összegyűjtendő adatokat.
Minden esemény saját szűrőcímkével rendelkezik egy konfigurációs fájl EventFiltering csomópontja alatt:
| Azonosító | Címke | Esemény |
|---|---|---|
| 1 | ProcessCreate | Folyamat létrehozása |
| 2 | FileCreateTime | Fájllétrehozás ideje |
| 3 | Hálózat Csatlakozás | Hálózati kapcsolat észlelhető |
| 4 | n.a. | A Sysmon szolgáltatás állapotának módosítása (nem szűrhető) |
| 5 | ProcessTerminate | A folyamat leállt |
| 6 | DriverLoad | Illesztőprogram betöltve |
| 7 | ImageLoad | Kép betöltve |
| 8 | CreateRemoteThread | CreateRemoteThread észlelve |
| 9 | RawAccessRead | RawAccessRead észlelve |
| 10 | ProcessAccess | Elért folyamat |
| 11 | FileCreate | Fájl létrehozva |
| 12 | RegistryEvent | Beállításjegyzék-objektum hozzáadva vagy törölve |
| 13 | RegistryEvent | Beállításjegyzék-értékkészlet |
| 14 | RegistryEvent | A beállításjegyzék-objektum átnevezve |
| 15 | FileCreateStreamHash | Fájlstream létrehozva |
| 16 | n.a. | A Sysmon konfigurációjának módosítása (nem szűrhető) |
| 17 | PipeEvent | Elnevezett cső létrehozva |
| 18 | PipeEvent | Elnevezett cső csatlakoztatva |
| 19 | WmiEvent | WMI-szűrő |
| 20 | WmiEvent | WMI-fogyasztó |
| 21 | WmiEvent | WMI fogyasztói szűrő |
| 22 | DNSQuery | DNS-lekérdezés |
| 23 | FileDelete | Archivált fájl törlése |
| 24 | ClipboardChange | Új tartalom a vágólapon |
| 25 | ProcessTampering | Folyamat képének módosítása |
| 26 | FileDeleteDetected | Naplózott fájl törlése |
| 27 | FileBlockExecutable | Végrehajtható fájlblokk |
| 28 | FileBlockShredding | Fájlblokkok aprítása |
| 29 | FileExecutableDetected | Fájl végrehajthatóvá ható észlelése |
Ezeket a címkéket az eseménynaplóban is megtalálhatja a feladatnéven.
A onmatch szűrő akkor lesz alkalmazva, ha az események megegyeznek. A szűrőcímke attribútumával onmatch módosítható. Ha az érték az "include", az azt jelenti, hogy csak a megfeleltetett események szerepelnek benne. Ha be van állítva "exclude", az esemény bele lesz foglalva, kivéve, ha egy szabály egyezik. Az egyes eseményazonosítókhoz megadhat egy belefoglalási szűrőkészletet és egy kizárási szűrőkészletet is, ahol a kizárási egyezések elsőbbséget élveznek.
Minden szűrő tartalmazhat nulla vagy több szabályt. A szűrőcímke alatt minden címke egy mezőnév az eseményből. Az ugyanazon mezőnév feltételét meghatározó szabályok az OR feltételként viselkednek, és a különböző mezőnevet meghatározó szabályok ÉS feltételekként viselkednek. A mezőszabályok feltételeket is használhatnak egy értéknek való megfeleltetéséhez. A feltételek a következők (mind érzéketlenek):
| Feltétel | Leírás |
|---|---|
| a | Alapértelmezés szerint az értékek egyenlők |
| bármely | A mező az ; egyik elhatárolt érték |
| nem | Az értékek eltérőek |
| Tartalmaz | A mező ezt az értéket tartalmazza |
| bármely | A mező a ; tagolt értékek bármelyikét tartalmazza |
| az összeset tartalmazza | A mező az ; összes elhatárolt értéket tartalmazza |
| Kizárja | A mező nem tartalmazza ezt az értéket |
| kizárja a | A mező nem tartalmaz egy vagy több ; tagolt értéket |
| kizárja az összeset | A mező nem tartalmazza a ; tagolt értékeket |
| kezdés: | A mező ezzel az értékkel kezdődik |
| végződés: | A mező ezzel az értékkel végződik |
| nem kezdődik a | A mező nem ezzel az értékkel kezdődik |
| nem végződik | A mező nem ezzel az értékkel végződik |
| kisebb, mint | A lexikográfiai összehasonlítás kisebb, mint nulla |
| több mint | A lexikográfiai összehasonlítás több mint nulla |
| rendszerkép | Egy kép elérési útjának egyeztetése (teljes elérési út vagy csak képnév). Például: lsass.exe egyezni fog c:\windows\system32\lsass.exe |
Más feltételt is használhat, ha attribútumként adja meg. Ez kizárja a hálózati tevékenységet azokról a folyamatokról, amelyek iexplore.exe az elérési útjukban:
<NetworkConnect onmatch="exclude">
<Image condition="contains">iexplore.exe</Image>
</NetworkConnect>
Ha azt szeretné, hogy a Sysmon-jelentés, amely a szabályegyeztetés eredményeként eseményt naplózott, adjon hozzá neveket a szabályokhoz:
<NetworkConnect onmatch="exclude">
<Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>
Használhatja ugyanahhoz a címkéhez tartozó belefoglalási és kizárási szabályokat is, ahol a szabályok kizárása felülbírálja a szabályokat. Egy szabályon belül a szűrőfeltételek vagy viselkedésük van.
A korábban bemutatott mintakonfigurációban a hálózati szűrő egy belefoglalási és kizárási szabályt is használ a 80-at és a 443-at tartalmazó összes folyamat tevékenységeinek rögzítéséhez, kivéve azokat, amelyek a nevükben szerepelnek iexplore.exe .
Felül is lehet bírálni a szabályok kombinálásának módját egy olyan szabálycsoport használatával, amely lehetővé teszi, hogy egy vagy több esemény szabályegyesítési típusa explicit módon ÉS vagy VAGY értékre legyen állítva.
Az alábbi példa ezt a használatot mutatja be. Az első szabálycsoportban egy folyamat-létrehozási esemény jön létre, amikor timeout.exe a rendszer csak a parancssori 100argumentummal hajtja végre, de a folyamat leállítása esemény jön létre az és timeout.exea.ping.exe
<EventFiltering>
<RuleGroup name="group 1" groupRelation="and">
<ProcessCreate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<CommandLine condition="contains">100</CommandLine>
</ProcessCreate>
</RuleGroup>
<RuleGroup groupRelation="or">
<ProcessTerminate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<Image condition="contains">ping.exe</Image>
</ProcessTerminate>
</RuleGroup>
<ImageLoad onmatch="include"/>
</EventFiltering>
Sysmon letöltése (4,6 MB)
Futtatás:
- Ügyfél: Windows 10 vagy újabb.
- Kiszolgáló: Windows Server 2016 és újabb.