Informazioni sugli eventi sysmon

Gli eventi sysmon forniscono dati di telemetria dettagliati e di basso livello sull'attività del sistema nei dispositivi Windows. Ogni evento rappresenta una classe specifica di comportamento, ad esempio l'esecuzione del processo, la comunicazione di rete, la modifica dei file o la modifica della configurazione, che può essere usata per comprendere il funzionamento del software in un sistema nel tempo. 

Questo articolo illustra cosa rappresentano gli eventi Sysmon, come si relazionano tra loro e come ragionarne concettualmente durante l'analisi o la ricerca di attività dannose. 

Dove vengono registrati gli eventi sysmon

Nelle versioni moderne di Windows, gli eventi Sysmon vengono scritti in:

Applications and Services Logs -> Microsoft -> Windows -> Sysmon -> Operational   

I timestamp degli eventi vengono registrati in formato UTC. 

Poiché Sysmon è integrato in Windows, gli eventi vengono sempre scritti usando l'infrastruttura standard del registro eventi di Windows e possono essere raccolti usando la raccolta di eventi di Windows, gli agenti SIEM (Security Information and Event Management) o le pipeline di inserimento log basate sul cloud. 

Che cosa rappresenta un evento Sysmon

Un evento Sysmon è un record strutturato di un'azione di sistema osservata. Descrive:

  • Cosa è successo (tipo di evento)

  • Quando è successo (timestamp)

  • Quale processo è stato coinvolto

  • Contesto racchiuso tra l'azione (riga di comando, percorsi di file, dettagli di rete)

Gli eventi sysmon sono:

  • Osservazionale, non interpretante

  • Deterministico, non probabilistico

  • Componibile, vale a dire che ottengono un significato se correlato

Nessun singolo evento indica un'attività dannosa da sola. 

Eventi come blocchi predefiniti comportamentali

Gli eventi sysmon sono particolarmente utili quando vengono visualizzati come segnali comportamentali che formano sequenze. 

Ad esempio:

  • Creazione del processo: è stato avviato un elemento

  • Query DNS: l'infrastruttura è stata risolta

  • Network Connect : comunica esternamente

  • Creazione file: ha scritto artefatti

  • Evento del Registro di sistema: salvato in modo permanente

Comprendere Sysmon significa pensare in catene e sequenze temporali, non eventi isolati. 

Categorie di eventi principali

Gli eventi sysmon possono essere raggruppati concettualmente in base al tipo di comportamento di sistema descritto. 

 

Ciclo di vita ed esecuzione del processo

Questi eventi descrivono l'avvio, l'esecuzione e l'interazione dei processi. 

Creazione processo (ID evento 1) 

Registra informazioni dettagliate su un processo appena creato, tra cui:

  • Riga di comando completa

  • Processo padre

  • Hash crittografici

  • GUID di processo univoco a livello globale per la correlazione

Questo evento è fondamentale per:

  • Analisi della catena di esecuzione

  • Ispezione da riga di comando

  • Ricerca delle minacce

 

Processo terminato (ID evento 5) 

Registra quando un processo viene chiuso. Utile per:

  • Completamento delle sequenze temporali

  • Misurazione della durata dell'esecuzione

  • Identificazione di processi di breve durata

 

Accesso ai processi (ID evento 10) 

Registra quando un processo apre un altro processo. Questa operazione è comunemente associata a:

  • Furto di credenziali

  • Ispezione della memoria

  • Tecniche di iniezione

Poiché questo evento può essere rumoroso, viene in genere usato con filtri di destinazione. 

 

CreateRemoteThread (ID evento 8) 

Indica che un processo ha creato un thread in un altro processo, una tecnica classica di inserimento del codice. 

Questo evento è a basso volume e ad alto segnale. 

 

Manomissione dei processi (ID evento 25) 

Generato quando Sysmon rileva tecniche di manipolazione delle immagini di processo, ad esempio:

  • Svuotamento del processo

  • Herpaderping

Questo evento indica i tentativi di mascherare o sostituire il contenuto del processo ed è fortemente associato a malware avanzato. 

 

Attività di risoluzione dei nomi e della rete

Questi eventi descrivono il modo in cui i processi interagiscono con la rete. 

 

Network Connect (ID evento 3) 

Registra le connessioni TCP e UDP avviate dai processi, tra cui:

  • Indirizzi di origine e di destinazione

  • Porte

  • Protocolli

  • GUID processo associato

Questo evento è disabilitato per impostazione predefinita a causa del volume e deve essere abilitato in modo selettivo. 

 

Query DNS (ID evento 22) 

Registra le query DNS emesse da un processo, indipendentemente dal fatto che la query abbia esito positivo. 

Gli eventi DNS sono particolarmente utili per:

  • Identificazione dell'infrastruttura esterna

  • Rilevamento del comportamento di beaconing

  • Individuare malware come minatori criptovaluta

Gli eventi DNS spesso forniscono indicatori iniziali anche quando il traffico di rete è crittografato. 

 

Attività del file system

Questi eventi descrivono la creazione, la modifica e l'eliminazione di file. 

 

Creazione file (ID evento 11) 

Registra quando viene creato o sovrascritto un file. 

Usi comuni:

  • Rilevamento dei payload eliminati

  • Monitoraggio delle posizioni di avvio e persistenza

  • Analisi della gestione temporanea del malware

 

Modifica ora creazione file (ID evento 2) 

Registra quando un processo modifica in modo esplicito il timestamp di creazione di un file. 

Gli utenti malintenzionati possono usarlo per nascondere la vera origine dei file dannosi, anche se il software legittimo esegue anche questa azione. 

 

Eliminazione file (ID evento 23/26) 

Registra l'attività di eliminazione dei file. 

  • L'ID evento 23 archivia anche il file eliminato

  • Eliminazione di record con ID evento 26 senza archiviazione

Questi eventi sono utili per l'analisi ransomware e pulizia. 

 

Creazione file Stream hash (ID evento 15) 

Record denominati flussi di dati alternativi, inclusi i flussi Zone.Identifier. 

Questo evento consente di rilevare i file provenienti dall'attività di download di Internet e browser. 

 

Rilevamento e blocco di file eseguibili (eventi 27-29) 

Questi eventi registrano quando vengono rilevati o bloccati file eseguibili durante la creazione. 

Forniscono informazioni dettagliate sul comportamento di staging eseguibile e sull'imposizione difensiva. 

 

Caricamento di moduli e driver

Questi eventi descrivono come il codice viene introdotto nella memoria. 

 

Caricamento immagini (ID evento 7) 

Registra quando una DLL o un'immagine eseguibile viene caricata in un processo. 

Questo evento è potente per:

  • Rilevamento dell'inserimento di DLL

  • Analisi del caricamento laterale

A causa del volume elevato, deve essere configurato con attenzione. 

 

Caricamento driver (ID evento 6) 

Registra quando viene caricato un driver del kernel, incluse le informazioni sulla firma e sull'hash. 

Il caricamento dei driver è raro e ad alto impatto, rendendo questo evento utile per rilevare le minacce a livello di kernel. 

 

Configurazione, persistenza e IPC

Questi eventi descrivono le modifiche alla configurazione del sistema e la comunicazione tra processi. 

 

Eventi del Registro di sistema (ID evento 12-14) 

Registrare la creazione, la modifica, l'eliminazione e la ridenominazione di chiavi e valori del Registro di sistema. 

sono essenziali per il rilevamento:

  • Meccanismi di persistenza

  • Manomissione della configurazione

  • Comportamento dell'installazione di malware

Sysmon usa nomi di chiave radice abbreviati (ad esempio HKLM, HKCU) per normalizzare i dati. 

 

Eventi named pipe (ID evento 17-18) 

Creazione di record e connessione a named pipe. 

Le named pipe vengono spesso usate per:

  • Comunicazione tra processi

  • Coordinamento del malware tra i componenti

Eventi WMI (ID evento 19-21) 

Registrare la registrazione del filtro WMI, del consumer e dell'associazione. 

WMI è un meccanismo di persistenza ed esecuzione comune per malware senza file. 

Eventi di configurazione e servizio Sysmon

Modifica dello stato del servizio (ID evento 4) 

Registra l'avvio o l'arresto del servizio Sysmon. 

Le interruzioni impreviste possono indicare tentativi di manomissione. 

 

Modifica configurazione (ID evento 16) 

Registra quando viene aggiornata la configurazione di Sysmon. 

Questo evento fornisce controllabilità e rilevamento delle modifiche per la selezione dei dati di telemetria. 

Gestione degli errori

Errore (ID evento 255) 

Indica errori sysmon interni, ad esempio:

  • Esaurimento delle risorse

  • Operazioni non riuscite

  • Bug interni

Questi eventi devono essere monitorati per garantire l'affidabilità dei dati di telemetria. 

 

Eventi come prova, non avvisi

Un principio fondamentale di Sysmon è la neutralità. 

  • Gli eventi non indicano finalità dannose

  • Raro non significa dannoso

  • Comune non significa sicuro

Il significato emerge attraverso:

  • Correlazione

  • Contesto

  • Modelli comportamentali nel tempo

 

Riepilogo

Gli eventi sysmon forniscono i dati di telemetria comportamentale non elaborati necessari per comprendere il funzionamento dei sistemi e il modo in cui si verificano gli attacchi. Ogni evento acquisisce una classe di attività specifica e il relativo valore effettivo deriva dalla correlazione in sequenze temporali e narrazioni comportamentali.Each event captures a specific class of activity, and their true value from correlati them into timelines and behavioral narratives. 

Gli eventi Sysmon ben configurati e ben noti consentono:

  • Ricerca delle minacce

  • Risposta agli eventi imprevisti

  • Analisi forense

  • Baselining comportamentale a lungo termine

 

 

  • Last updated on