Sysmon v14.14

Według Mark Russinovich i Thomas Garnier

Opublikowano: 25 stycznia 2023 r.

Pobierzplik Sysmon(4,6 MB)

Pobierz program Sysmon dla systemu Linux (GitHub)

Wprowadzenie

System Monitor (Sysmon) to usługa systemowa systemu Windows i sterownik urządzenia, który po zainstalowaniu w systemie pozostaje rezydentem wszystkich ponownych uruchomień systemu w celu monitorowania i rejestrowania aktywności systemu Windows w dzienniku zdarzeń systemu Windows. Zawiera szczegółowe informacje o tworzeniu procesów, połączeniach sieciowych i zmianach czasu tworzenia pliku. Zbierając zdarzenia generowane przy użyciu agentów zbierania zdarzeń systemu Windows lub agentów SIEM , a następnie analizując je, można zidentyfikować złośliwe lub nietypowe działania i zrozumieć, jak intruzów i złośliwego oprogramowania działają w sieci.

Należy pamiętać, że system Sysmon nie zapewnia analizy generowanych zdarzeń ani nie próbuje chronić się ani ukrywać przed osobami atakującymi.

Omówienie możliwości programu Sysmon

System Sysmon oferuje następujące możliwości:

  • Rejestruje tworzenie procesów z pełnym wierszem polecenia dla bieżących i nadrzędnych procesów.
  • Rejestruje skrót plików obrazów procesu przy użyciu algorytmu SHA1 (wartość domyślna), MD5, SHA256 lub IMPHASH.
  • W tym samym czasie można używać wielu skrótów.
  • Zawiera identyfikator GUID procesu w procesie tworzenia zdarzeń, aby umożliwić korelację zdarzeń, nawet gdy system Windows ponownie używa identyfikatorów procesów.
  • Zawiera identyfikator GUID sesji w każdym zdarzeniu, aby umożliwić korelację zdarzeń w tej samej sesji logowania.
  • Rejestruje ładowanie sterowników lub bibliotek DLL przy użyciu ich podpisów i skrótów.
  • Dzienniki są otwierane dla nieprzetworzonego dostępu do odczytu dysków i woluminów.
  • Opcjonalnie rejestruje połączenia sieciowe, w tym proces źródłowy każdego połączenia, adresy IP, numery portów, nazwy hostów i nazwy portów.
  • Wykrywa zmiany w czasie tworzenia pliku, aby zrozumieć, kiedy plik został naprawdę utworzony. Modyfikacja sygnatur czasowych tworzenia plików jest techniką często używaną przez złośliwe oprogramowanie do pokrycia jego śladów.
  • Automatycznie załaduj ponownie konfigurację w przypadku zmiany w rejestrze.
  • Filtrowanie reguł w celu dynamicznego dołączania lub wykluczania określonych zdarzeń.
  • Generuje zdarzenia od początku procesu rozruchu w celu przechwytywania działań wykonanych przez nawet zaawansowane złośliwe oprogramowanie w trybie jądra.

Zrzuty ekranu

EventViewer

Użycie

Typowe użycie z prostymi opcjami wiersza polecenia do instalowania i odinstalowywania programu Sysmon, a także sprawdzania i modyfikowania jego konfiguracji:

Zainstalować: sysmon64 -i [<configfile>]
Konfiguracja aktualizacji: sysmon64 -c [<configfile>]
Instalowanie manifestu zdarzenia: sysmon64 -m
Schemat wydruku: sysmon64 -s
Odinstalować: sysmon64 -u [force]

Parametr Opis
-i Zainstaluj usługę i sterownik. Opcjonalnie możesz pobrać plik konfiguracji.
-c Zaktualizuj konfigurację zainstalowanego sterownika Sysmon lub zrzuć bieżącą konfigurację, jeśli nie podano żadnego innego argumentu. Opcjonalnie pobiera plik konfiguracji.
-M Zainstaluj manifest zdarzenia (niejawnie wykonywane na instalacji usługi).
-S Drukuj definicję schematu konfiguracji.
-U Odinstaluj usługę i sterownik. Użycie -u force powoduje odinstalowanie, aby kontynuować nawet wtedy, gdy niektóre składniki nie są zainstalowane.

Usługa natychmiast rejestruje zdarzenia, a sterownik jest instalowany jako sterownik rozruchu w celu przechwycenia aktywności od początku rozruchu, który usługa zapisze w dzienniku zdarzeń po uruchomieniu.

W systemie Vista i nowszych zdarzenia są przechowywane w programie Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. W starszych systemach zdarzenia są zapisywane w dzienniku zdarzeń System .

Jeśli potrzebujesz więcej informacji na temat plików konfiguracji, użyj -? config polecenia .

Określ -accepteula , aby automatycznie zaakceptować umowy EULA podczas instalacji. W przeciwnym razie zostanie wyświetlony interakcyjny monit o zaakceptowanie tej umowy.

Ani instalacja, ani odinstalowanie nie wymaga ponownego uruchomienia.

Przykłady

Instalowanie przy użyciu ustawień domyślnych (przetwarzanie obrazów przy użyciu algorytmu SHA1 i brak monitorowania sieci)

sysmon -accepteula -i

Zainstaluj program Sysmon przy użyciu pliku konfiguracji (zgodnie z poniższym opisem)

sysmon -accepteula -i c:\windows\config.xml

Dezinstalacja

sysmon -u

Zrzut bieżącej konfiguracji

sysmon -c

Skonfiguruj ponownie aktywny program Sysmon przy użyciu pliku konfiguracji (zgodnie z poniższym opisem)

sysmon -c c:\windows\config.xml

Zmień konfigurację na ustawienia domyślne

sysmon -c --

Pokaż schemat konfiguracji

sysmon -s

Zdarzenia

W systemie Vista i nowszych zdarzenia są przechowywane w Applications and Services Logs/Microsoft/Windows/Sysmon/Operationalprogramie , a w starszych systemach zdarzenia są zapisywane w dzienniku zdarzeń System . Znaczniki czasu zdarzenia są w czasie standardowym UTC.

Poniżej przedstawiono przykłady poszczególnych typów zdarzeń generowanych przez program Sysmon.

Identyfikator zdarzenia 1: Tworzenie procesu

Zdarzenie tworzenia procesu zawiera rozszerzone informacje o nowo utworzonym procesie. Pełny wiersz polecenia zawiera kontekst wykonywania procesu. Pole ProcessGUID jest unikatową wartością dla tego procesu w domenie, aby ułatwić korelację zdarzeń. Skrót jest pełnym skrótem pliku z algorytmami w HashType polu.

Identyfikator zdarzenia 2: Proces zmienił czas tworzenia pliku

Zdarzenie czasu tworzenia pliku zmiany jest rejestrowane, gdy czas tworzenia pliku jest jawnie modyfikowany przez proces. To zdarzenie pomaga śledzić czas tworzenia pliku w czasie rzeczywistym. Osoby atakujące mogą zmienić czas tworzenia pliku zaplecza, aby wyglądało na to, że został zainstalowany w systemie operacyjnym. Należy pamiętać, że wiele procesów legalnie zmienia czas tworzenia pliku; nie musi wskazywać złośliwych działań.

Zdarzenie o identyfikatorze 3: Połączenie sieciowe

Zdarzenie połączenia sieciowego rejestruje połączenia TCP/UDP na maszynie. To ustawienie jest domyślnie wyłączone. Każde połączenie jest połączone z procesem za pośrednictwem ProcessId pól i ProcessGuid . Zdarzenie zawiera również źródłowe i docelowe nazwy hostów adresy IP, numery portów i stan IPv6.

Zdarzenie o identyfikatorze 4. Zmieniono stan usługi Sysmon

Zdarzenie zmiany stanu usługi zgłasza stan usługi Sysmon (uruchomiono lub zatrzymano).

Zdarzenie o identyfikatorze 5. Proces został zakończony

Proces kończy działanie zdarzeń w przypadku zakończenia procesu. Udostępnia element UtcTimei ProcessGuidProcessId procesu.

Identyfikator zdarzenia 6: załadowany sterownik

Załadowane zdarzenia sterownika zawierają informacje o sterowniku ładowanym w systemie. Skonfigurowane skróty są udostępniane, a także informacje o podpisie. Podpis jest tworzony asynchronicznie ze względu na wydajność i wskazuje, czy plik został usunięty po załadowaniu.

Identyfikator zdarzenia 7: Załadowano obraz

Obraz załadował dzienniki zdarzeń po załadowaniu modułu w określonym procesie. To zdarzenie jest domyślnie wyłączone i należy je skonfigurować przy użyciu opcji "–l". Wskazuje on proces, w którym moduł jest ładowany, skróty i informacje o podpisie. Podpis jest tworzony asynchronicznie ze względu na wydajność i wskazuje, czy plik został usunięty po załadowaniu. To zdarzenie należy dokładnie skonfigurować, ponieważ monitorowanie wszystkich zdarzeń ładowania obrazów spowoduje wygenerowanie znacznej ilości rejestrowania.

Identyfikator zdarzenia 8: CreateRemoteThread

Zdarzenie CreateRemoteThread wykrywa, gdy proces tworzy wątek w innym procesie. Ta technika jest używana przez złośliwe oprogramowanie do wstrzykiwania kodu i ukrywania się w innych procesach. Zdarzenie wskazuje proces źródłowy i docelowy. Zawiera on informacje o kodzie, który zostanie uruchomiony w nowym wątku: StartAddress, StartModule i StartFunction. Należy pamiętać, że StartModule pola i StartFunction są wnioskowane, mogą być puste, jeśli adres początkowy znajduje się poza załadowanych modułów lub znanych wyeksportowanych funkcji.

Identyfikator zdarzenia 9: RawAccessRead

Zdarzenie RawAccessRead wykrywa, gdy proces przeprowadza operacje odczytu z dysku przy użyciu \\.\ denoacji. Ta technika jest często używana przez złośliwe oprogramowanie do eksfiltracji danych plików, które są zablokowane do odczytu, a także w celu uniknięcia dostępu do plików narzędzi inspekcji. Zdarzenie wskazuje proces źródłowy i urządzenie docelowe.

Identyfikator zdarzenia 10: ProcessAccess

Proces uzyskiwał dostęp do zdarzeń, gdy proces otwiera inny proces, operację, która jest często wykonywana przez zapytania informacyjne lub odczytywała i zapisywała przestrzeń adresową procesu docelowego. Umożliwia to wykrywanie narzędzi hakerskich odczytujących zawartość pamięci procesów, takich jak lokalny urząd zabezpieczeń (Lsass.exe), w celu kradzieży poświadczeń do użycia w atakach typu Pass-the-Hash. Włączenie tej funkcji może spowodować wygenerowanie znacznych ilości rejestrowania, jeśli istnieją aktywne narzędzia diagnostyczne, które wielokrotnie otwierają procesy w celu wykonywania zapytań o ich stan, więc zazwyczaj należy to zrobić tylko za pomocą filtrów, które usuwają oczekiwane dostępy.

Identyfikator zdarzenia 11: PlikTworzenie

Operacje tworzenia plików są rejestrowane po utworzeniu lub zastąpieniu pliku. To zdarzenie jest przydatne w przypadku monitorowania lokalizacji autostartu, takich jak folder startowy, a także katalogów tymczasowych i pobierania, które są typowymi miejscami, w których złośliwe oprogramowanie spada podczas początkowej infekcji.

Identyfikator zdarzenia 12: RegistryEvent (tworzenie i usuwanie obiektu)

Klucz rejestru i wartość tworzenia i usuwania operacji mapowania na ten typ zdarzenia, co może być przydatne do monitorowania zmian w lokalizacjach automatycznego startu rejestru lub określonych modyfikacji rejestru złośliwego oprogramowania.

Systemmon używa skróconych wersji nazw kluczy głównych rejestru z następującymi mapowaniami:

Nazwa klucza Skrót
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR

Identyfikator zdarzenia 13: RegistryEvent (zestaw wartości)

Ten typ zdarzenia rejestru identyfikuje modyfikacje wartości rejestru. Zdarzenie rejestruje wartość zapisaną dla wartości rejestru typu DWORD i QWORD.

Identyfikator zdarzenia 14: RegistryEvent (zmiana nazwy klucza i wartości)

Operacje zmiany nazwy klucza i wartości rejestru są mapowane na ten typ zdarzenia, rejestrując nową nazwę klucza lub wartości, która została zmieniona.

Identyfikator zdarzenia 15: FileCreateStreamHash

To zdarzenie rejestruje po utworzeniu nazwanego strumienia plików i generuje zdarzenia, które rejestrują skrót zawartości pliku, do którego jest przypisany strumień (strumień bez nazwy), a także zawartość nazwanego strumienia. Istnieją warianty złośliwego oprogramowania, które usuwają swoje pliki wykonywalne lub ustawienia konfiguracji za pośrednictwem pobierania przeglądarki, a to zdarzenie ma na celu przechwytywanie tego zdarzenia na podstawie przeglądarki dołączania Zone.Identifier strumienia "znacznik sieci Web".

Identyfikator zdarzenia 16: ServiceConfigurationChange

To zdarzenie rejestruje zmiany w konfiguracji programu Sysmon — na przykład podczas aktualizowania reguł filtrowania.

Identyfikator zdarzenia 17: PipeEvent (utworzony potok)

To zdarzenie jest generowane podczas tworzenia nazwanego potoku. Złośliwe oprogramowanie często używa nazwanych potoków do komunikacji międzyprocesowej.

Identyfikator zdarzenia 18: PipeEvent (połączony potok)

To zdarzenie rejestruje, gdy zostanie nawiązane połączenie nazwanego potoku między klientem a serwerem.

Identyfikator zdarzenia 19: WmiEvent (wykryto działanie WmiEventFilter)

Po zarejestrowaniu filtru zdarzeń usługi WMI, czyli metody używanej przez złośliwe oprogramowanie do wykonania, to zdarzenie rejestruje przestrzeń nazw usługi WMI, nazwę filtru i wyrażenie filtru.

Identyfikator zdarzenia 20: Wykryto działanie WmiEvent (WmiEventConsumer)

To zdarzenie rejestruje rejestrację użytkowników usługi WMI, rejestrując nazwę użytkownika, dziennik i lokalizację docelową.

Identyfikator zdarzenia 21: Wykryto działanie WmiEvent (WmiEventConsumerToFilter)

Gdy użytkownik powiąże z filtrem, to zdarzenie rejestruje nazwę użytkownika i ścieżkę filtru.

Identyfikator zdarzenia 22: DNSEvent (zapytanie DNS)

To zdarzenie jest generowane, gdy proces wykonuje zapytanie DNS, niezależnie od tego, czy wynik zakończył się powodzeniem, czy niepowodzeniem, czy też nie. Dane telemetryczne dla tego zdarzenia zostały dodane dla Windows 8.1, więc nie są dostępne w systemie Windows 7 i starszych wersjach.

Identyfikator zdarzenia 23: FileDelete (Plik usunięty zarchiwizowany)

Plik został usunięty. Ponadto w celu rejestrowania zdarzenia usunięty plik jest również zapisywany w ArchiveDirectory pliku (który jest C:\Sysmon domyślnie). W normalnych warunkach operacyjnych ten katalog może wzrosnąć do nierozsądnego rozmiaru — zobacz zdarzenie o identyfikatorze 26: FileDeleteDetected w przypadku podobnego zachowania, ale bez zapisywania usuniętych plików.

Identyfikator zdarzenia 24: ClipboardChange (Nowa zawartość w schowku)

To zdarzenie jest generowane po zmianie zawartości schowka systemowego.

Identyfikator zdarzenia 25: ProcessTampering (Zmiana obrazu procesu)

To zdarzenie jest generowane podczas wykrywania technik ukrywania procesów, takich jak "puste" lub "herpaderp".

Identyfikator zdarzenia 26: FileDeleteDetected (zarejestrowane usuwanie pliku)

Plik został usunięty.

Identyfikator zdarzenia 27: FileBlockExecutable

To zdarzenie jest generowane, gdy program Sysmon wykryje i zablokuje tworzenie plików wykonywalnych.

Identyfikator zdarzenia 28: FileBlockShredding

To zdarzenie jest generowane, gdy program Sysmon wykrywa i blokuje rozdrobnienie plików z narzędzi, takich jak SDelete.

Identyfikator zdarzenia 255: błąd

To zdarzenie jest generowane, gdy wystąpił błąd w programie Sysmon. Mogą się zdarzyć, jeśli system jest obciążony dużym obciążeniem i nie można wykonać niektórych zadań lub w usłudze Sysmon istnieje usterka, a nawet jeśli nie są spełnione pewne warunki zabezpieczeń i integralności. Możesz zgłosić wszelkie błędy na forum Sysinternals lub w serwisie Twitter (@markrussinovich).

Pliki konfiguracji

Pliki konfiguracji można określić po przełącznikach konfiguracji -i (instalacja) lub -c (instalacja). Ułatwiają one wdrażanie konfiguracji wstępnie zdefiniowanej i filtrowanie przechwyconych zdarzeń.

Prosty plik XML konfiguracji wygląda następująco:

<Sysmon schemaversion="4.82">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    <!-- Do not log process termination -->
    <ProcessTerminate onmatch="include" />
    <!-- Log network connection if the destination port equal 443 -->
    <!-- or 80, and process isn't InternetExplorer -->
    <NetworkConnect onmatch="include">
      <DestinationPort>443</DestinationPort>
      <DestinationPort>80</DestinationPort>
    </NetworkConnect>
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplore.exe</Image>
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

Plik konfiguracji zawiera atrybut schemaversion w tagu Sysmon. Ta wersja jest niezależna od wersji binarnej sysmon i umożliwia analizowanie starszych plików konfiguracji. Bieżącą wersję schematu można pobrać przy użyciu wiersza polecenia "-? config". Wpisy konfiguracji znajdują się bezpośrednio pod tagiem Sysmon , a filtry znajdują się pod tagiem EventFiltering .

Wpisy konfiguracji

Wpisy konfiguracji są podobne do przełączników wiersza polecenia i zawierają następujące elementy

Wpisy konfiguracji obejmują następujące elementy:

Wpis Wartość Opis
ArchiveDirectory Ciąg Nazwa katalogów w katalogach głównych woluminów, do których są przenoszone pliki kopiowania na dysku. Katalog jest chroniony za pomocą listy ACL systemu (można użyć programu PsExec z programu Sysinternals, aby uzyskać dostęp do katalogu przy użyciu polecenia psexec -sid cmd). Domyślny: Sysmon
CheckRevocation Wartość logiczna Steruje kontrolami odwoływania podpisów. Domyślny: True
CopyOnDeletePE Wartość logiczna Zachowuje usunięte pliki obrazów wykonywalnych. Domyślny: False
CopyOnDeleteSIDs Ciągi Rozdzielona przecinkami lista identyfikatorów SID kont, dla których zostaną zachowane usunięcia plików.
CopyOnDeleteExtensions Ciągi Rozszerzenia dla plików, które są zachowywane podczas usuwania.
CopyOnDeleteProcesses Ciągi Nazwy procesów, dla których pliki zostaną usunięte, zostaną zachowane.
DnsLookup Wartość logiczna Steruje odwrotnym wyszukiwaniem DNS. Domyślny: True
DriverName Ciąg Używa nazwy określonej dla obrazów sterowników i usług.
SkrótAlgorithms Ciągi Algorytmy skrótów, które mają być stosowane do tworzenia skrótów. Obsługiwane algorytmy to MD5, SHA1, SHA256, IMPHASH i * (wszystkie). Domyślny: None

Przełączniki wiersza polecenia mają swój wpis konfiguracji opisany w danych wyjściowych użycia sysmon. Parametry są opcjonalne na podstawie tagu. Jeśli przełącznik wiersza polecenia włączy również zdarzenie, należy skonfigurować go, choć jego tag filtru. Możesz określić przełącznik, -s aby system sysmon wydrukował pełny schemat konfiguracji, w tym tagi zdarzeń, a także nazwy pól i typy dla każdego zdarzenia. Na przykład oto schemat RawAccessRead typu zdarzenia:

<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">  
  <data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="ProcessGuid" inType="win:GUID"/>  
  <data name="ProcessId" inType="win:UInt32" outType="win:PID"/>  
  <data name="Image" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="Device" inType="win:UnicodeString" outType="xs:string"/>  
</event>  

Wpisy filtrowania zdarzeń

Filtrowanie zdarzeń umożliwia filtrowanie wygenerowanych zdarzeń. W wielu przypadkach zdarzenia mogą być hałaśliwy i zbieranie wszystkiego nie jest możliwe. Na przykład możesz zainteresować się połączeniami sieciowymi tylko w przypadku określonego procesu, ale nie wszystkich z nich. Dane wyjściowe można filtrować na hoście, zmniejszając dane do zebrania.

Każde zdarzenie ma własny tag filtru w węźle EventFiltering w pliku konfiguracji:

ID (Identyfikator) Tag Zdarzenie
1 ProcesTworzenie Tworzenie procesu
2 PlikUtwórztime Czas tworzenia pliku
3 NetworkConnect Wykryto połączenie sieciowe
4 n/d Zmiana stanu usługi Sysmon (nie można go filtrować)
5 ProcesTerminate Proces został zakończony
6 DriverLoad Załadowany sterownik
7 ImageLoad Załadowany obraz
8 CreateRemoteThread Wykryto pozycję CreateRemoteThread
9 RawAccessRead Wykryto funkcję RawAccessRead
10 ProcessAccess Dostęp do procesu
11 PlikTworzenie Utworzony plik
12 RegistryEvent Dodano lub usunięto obiekt rejestru
13 RegistryEvent Zestaw wartości rejestru
14 RegistryEvent Zmieniono nazwę obiektu rejestru
15 FileCreateStreamHash Utworzony strumień plików
16 n/d Zmiana konfiguracji sysmon (nie można go filtrować)
17 PipeEvent Utworzony nazwany potok
18 PipeEvent Połączony nazwany potok
19 WmiEvent Filtr WMI
20 WmiEvent Konsument usługi WMI
21 WmiEvent Filtr odbiorcy usługi WMI
22 Zapytanie DNS Zapytanie DNS
23 FileDelete Zarchiwizowane usunięcie pliku
24 SchowekChange Nowa zawartość w schowku
25 ProcessTampering Zmiana obrazu procesu
26 FileDeleteDetected Zarejestrowane usuwanie pliku
27 FileBlockExecutable Plik wykonywalny bloku plików
28 FileBlockShredding Niszczanie bloku plików

Tagi te można również znaleźć w podglądzie zdarzeń w nazwie zadania.

Filtr onmatch jest stosowany w przypadku dopasowania zdarzeń. Można go zmienić za pomocą atrybutu onmatch tagu filtru. Jeśli wartość to "include", oznacza to, że uwzględniane są tylko dopasowane zdarzenia. Jeśli jest ustawiona na "exclude"wartość , zdarzenie zostanie uwzględnione, z wyjątkiem sytuacji, gdy reguła jest zgodna. Można określić zarówno zestaw filtrów dołączania, jak i zestaw filtrów wykluczania dla każdego identyfikatora zdarzenia, gdzie pierwszeństwo mają dopasowania wykluczania.

Każdy filtr może zawierać zero lub więcej reguł. Każdy tag w tagu filtru jest nazwą pola ze zdarzenia. Reguły określające warunek dla tej samej nazwy pola zachowują się jak warunki OR, a te, które określają inną nazwę pola, zachowują się jako warunki AND. Reguły pól mogą również używać warunków, aby dopasować wartość. Warunki są następujące (wszystkie są bez uwzględniania wielkości liter):

Warunek Opis
is Wartości domyślne są równe
jest dowolny Pole jest jedną z ; wartości rozdzielanych
nie jest Wartości różnią się
Zawiera Pole zawiera tę wartość
zawiera dowolny Pole zawiera dowolną ; z rozdzielonych wartości
zawiera wszystkie Pole zawiera wszystkie ; rozdzielane wartości
Wyklucza Pole nie zawiera tej wartości
wyklucza wszystkie Pole nie zawiera co najmniej jednej z ; rozdzielonych wartości
wyklucza wszystkie Pole nie zawiera żadnych ; wartości rozdzielonych
rozpocznij od Pole zaczyna się od tej wartości
koniec z Pole kończy się tą wartością
nie zaczyna się od Pole nie zaczyna się od tej wartości
nie kończy się na Pole nie kończy się tą wartością
mniejsze niż Porównanie leksykograficzne jest mniejsze niż zero
Ponad Porównanie leksykograficzne jest większe niż zero
Obrazu Dopasuj ścieżkę obrazu (pełna ścieżka lub tylko nazwa obrazu). Na przykład: lsass.exe będzie pasuje do c:\windows\system32\lsass.exe

Można użyć innego warunku, określając go jako atrybut. Wyklucza to działanie sieciowe z procesów z iexplore.exe w ich ścieżce:

<NetworkConnect onmatch="exclude">
  <Image condition="contains">iexplore.exe</Image>
</NetworkConnect>

Aby raport sysmon, który reguła odpowiadała, spowodowało zarejestrowanie zdarzenia, dodaj nazwy do reguł:

<NetworkConnect onmatch="exclude">
  <Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>

Możesz użyć reguł dołączania i wykluczania dla tego samego tagu, gdzie reguły wykluczania przesłaniają reguły dołączania. W ramach reguły warunki filtrowania mają zachowanie OR.

W pokazanej wcześniej przykładowej konfiguracji filtr sieciowy używa zarówno reguły dołączania, jak i wykluczania do przechwytywania działania na porcie 80 i 443 przez wszystkie procesy, z wyjątkiem tych, które mają iexplore.exe w nazwie.

Istnieje również możliwość zastąpienia sposobu łączenia reguł przy użyciu grupy reguł, która umożliwia typ łączenia reguły dla jednego lub większej liczby zdarzeń, które mają być jawnie ustawione na AND lub OR.

W poniższym przykładzie pokazano to użycie. W pierwszej grupie reguł zdarzenie tworzenia procesu zostanie wygenerowane, gdy timeout.exe jest wykonywane tylko z argumentem 100wiersza polecenia , ale zdarzenie zakończenia procesu zostanie wygenerowane dla zakończenia działania ping.exe i timeout.exe.

  <EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>

Pobierzplik Sysmon(4,6 MB)

Działa w:

  • Klient: Windows 8.1 i nowsze.
  • Serwer: Windows Server 2012 i nowsze.