Sysmon(기본 제공 시스템 모니터)은 Windows 11 및 Windows Server 2025의 선택적 Windows 기능으로, 사용하도록 설정되면 시스템 재부팅을 통해 상주하여 시스템 활동을 모니터링하고 Windows 이벤트 로그에 기록합니다. 프로세스 만들기, 네트워크 연결 및 파일 생성 시간 변경 이벤트에 대한 자세한 정보를 제공합니다. Windows 이벤트 컬렉션 또는 SIEM 에이전트를 통해 이벤트를 수집하면 시스템이 수행하는 작업을 더 잘 이해할 수 있습니다. 이러한 이벤트는 악의적이거나 비정상적인 동작을 감지하고 침입자 또는 맬웨어가 환경 내에서 이동하고 작동하는 방식을 파악하는 데 도움이 됩니다.
Sysmon은 생성되는 이벤트를 분석하지 않으며 공격자의 존재를 숨기려고 시도하지 않습니다.
Sysmon 기능
Sysmon에는 다음 기능이 포함됩니다.
현재 프로세스와 부모 프로세스 모두에 대한 전체 명령줄을 사용하여 프로세스 만들기를 기록합니다.
SHA1(기본값), MD5, SHA256 또는 IMPHASH를 사용하여 프로세스 이미지 파일의 해시를 기록합니다.
여러 해시를 동시에 사용할 수 있습니다.
Windows에서 프로세스 ID를 다시 사용하는 경우에도 이벤트의 상관 관계를 허용하는 프로세스 만들기 이벤트에 프로세스 GUID를 포함합니다.
동일한 로그온 세션에서 이벤트의 상관 관계를 허용하도록 각 이벤트에 세션 GUID를 포함합니다.
해당 서명 및 해시를 사용하여 드라이버 또는 DLL의 로드를 기록합니다.
원시 읽기 액세스 권한으로 디스크 또는 볼륨을 열 때 로그합니다.
필요에 따라 각 연결의 원본 프로세스, IP 주소, 포트 번호, 호스트 이름 및 포트 이름을 포함하여 네트워크 연결을 기록합니다.
파일이 실제로 만들어진 시기를 이해하기 위해 파일 생성 시간의 변경 내용을 검색합니다. 파일 만들기 타임스탬프 수정은 맬웨어가 해당 트랙을 커버하는 데 일반적으로 사용하는 기술입니다.
레지스트리에서 변경된 경우 구성을 자동으로 다시 로드합니다.
특정 이벤트를 동적으로 포함하거나 제외하는 규칙 필터링입니다.
부팅 프로세스 초기부터 이벤트를 생성하여 정교한 커널 모드 맬웨어에 의한 활동을 캡처합니다.
이러한 기능을 통해 보안 팀은 기본 감사 로그보다 더 나은 컨텍스트를 제공하고 실시간 실행, 횡적 이동 및 악의적인 활동과 같은 의심스러운 동작을 검색할 수 있습니다.
사용
Sysmon을 설치 및 제거하고 구성을 검사 수정하는 간단한 명령줄 옵션을 포함하는 몇 가지 일반적인 사용 예제:
설치:
sysmon -i [<configfile>]
구성 업데이트:
sysmon -c [<configfile>]
이벤트 매니페스트 설치:
sysmon -m
인쇄 스키마:
sysmon -s
제거:
sysmon -u [force]
스크린샷
다음 스크린샷은 기본 제공 Windows 이벤트 뷰어 일반적인 Sysmon 원격 분석을 보여 줍니다.
다음 스크린샷은 원격 분석 구성을 확인할 때 Sysmon 출력을 보여 줍니다.
다음 스크린샷은 원격 분석 이벤트를 적극적으로 저장하는 Sysmon을 보여 줍니다.
지역화된 이벤트
Windows 이벤트 로그에 기록된 기본 제공 Sysmon 이벤트는 지역화되어 다른 Windows 시스템 이벤트와 일관된 환경을 제공하고 디바이스에 구성된 언어와 일치합니다. 렌더링된 이벤트 메시지(이벤트 뷰어 같은 도구에 표시된 표시 텍스트)는 지역화되어 있지만 기본 XML 이벤트 데이터는 지역화되지 않으며 모든 언어에서 일관성을 유지합니다. 이 XML 표현은 환경 전체에서 신뢰할 수 있는 이벤트 수집, 집계 및 분석에 사용할 수 있습니다.
이 동작은 독립 실행형 Sysmon과 다르며 기본 제공 Sysmon을 로그 수집 파이프라인, SIEM 솔루션 또는 사용자 지정 이벤트 처리 논리와 통합할 때 고려해야 합니다.
참고
현재 비 XML 표현(예: 렌더링된 메시지 텍스트)을 사용하여 Sysmon 이벤트를 수집하거나 처리하는 경우 영어 이외의 시스템에서 지역화를 고려하도록 이벤트 처리 스크립트를 업데이트해야 할 수 있습니다.
서비스 및 업데이트
기본 제공 Sysmon에 대한 향상된 기능 및 비보안 개선 사항은 표준 Windows 품질 업데이트 프로세스를 통해 제공되며, 변경 내용은 선택적 Windows 미리 보기 업데이트에서 먼저 제공된 다음 정기적으로 예약된 다음 Windows 업데이트에서 광범위하게 배포됩니다. 자세한 내용은 Windows 품질 업데이트 개요를 참조하세요.
이러한 기능 업데이트 중:
Sysmon이 현재 사용하도록 설정되어 있는지 여부에 관계없이 기본 제공 Sysmon 이진 파일이 업데이트됩니다.
기본 제공 Sysmon을 사용하도록 설정하면 업데이트된 이진 파일로의 전환이 원활하고 기존 구성이 유지되며 시스템 다시 시작이 필요하지 않습니다.
기본 제공 Sysmon을 사용하도록 설정하지 않으면 업데이트가 이진 파일을 대체하지만 Sysmon은 비활성화된 상태로 유지됩니다.
기본 제공 Sysmon에 대한 기능 업데이트는 디바이스의 독립 실행형 Sysmon 설치에 영향을 주지 않습니다. 기본 제공 Sysmon과 독립 실행형 Sysmon 간의 공존은 지원되지 않습니다.
테스트 및 유효성 검사
조직은 새로운 기본 제공 Sysmon 기능을 채택할 때 표준 Windows 업데이트 테스트 사례를 따라야 합니다.
테스트 또는 파일럿 환경에서 선택적 미리 보기 업데이트를 평가합니다.
업데이트 후 Sysmon 이벤트 출력 및 동작을 검토합니다.
광범위한 배포 전에 필요에 따라 Sysmon 구성을 조정합니다.
이 접근 방식을 통해 팀은 기존 Windows 업데이트 관리 프로세스와 일치하는 상태를 유지하면서 변경 내용의 유효성을 검사할 수 있습니다.
품질 업데이트
기본 제공 Sysmon에 영향을 주는 중요한 보안 문제가 식별되면 수정 사항은 월별 보안 업데이트 릴리스(업데이트 화요일/B 릴리스)의 일부로 제공됩니다.
보안 업데이트는 광범위하게 배포되며 옵트인 미리 보기 업데이트가 필요하지 않습니다.
업데이트 기본 제공 Sysmon을 사용하는지 여부에 관계없이 적용되므로 Sysmon 구성 요소가 보호된 상태로 유지됩니다.
Sysmon & 기타 보안 제품과의 공존
기본 제공 Sysmon은 네이티브 Windows 기능으로 작동하도록 설계되었으며 독립 실행형 Sysmon과의 공존을 지원하지 않습니다.
독립 실행형 Sysmon 및 기본 제공 Sysmon은 동일한 디바이스에서 동시에 사용하도록 설정할 수 없습니다.
독립 실행형 Sysmon은 기본 제공 Sysmon을 사용하도록 설정하기 전에 제거해야 합니다.
기본 제공 Sysmon을 제공하거나 업데이트하는 Windows 업데이트는 독립 실행형 Sysmon 설치에 영향을 주지 않습니다. 독립 실행형 Sysmon이 설치된 경우 변경되지 않은 상태로 유지되고 기본 제공 Sysmon은 사용하지 않도록 설정된 상태로 유지됩니다.
Sysmon은 다음과 같은 다른 보안 제품과 호환됩니다.
분석을 위해 중앙에서 Sysmon 로그를 집계하는 Windows 이벤트 전달 및 Windows 이벤트 컬렉션입니다.
향상된 검색 논리를 위해 Sysmon 이벤트를 사용하는 엔드포인트용 Microsoft Defender 및 기타 EDR 플랫폼입니다.
Sysmon 원격 분석을 다른 로그 원본과 상호 연결하는 SIEM 솔루션입니다.
Sysmon의 필터링 및 구성 기능을 통해 관리자는 데이터 볼륨을 관리할 수 있도록 이벤트 캡처를 조정하여 신호 품질을 극대화하면서 다른 에이전트와의 겹침을 최소화할 수 있습니다. 활성 방지가 아닌 원시 원격 분석을 제공하므로 바이러스 백신 또는 기타 모니터링 도구와 충돌하지 않습니다.