Основные сведения о событиях Sysmon

События Sysmon предоставляют подробные низкоуровневые данные телеметрии о действиях системы на устройствах Windows. Каждое событие представляет определенный класс поведения, например выполнение процесса, сетевое взаимодействие, изменение файла или изменение конфигурации, который можно использовать для понимания того, как программное обеспечение работает в системе с течением времени. 

В этой статье объясняется, что представляют собой события Sysmon, как они связаны друг с другом и как концептуально рассуждать о них при исследовании или охоте на вредоносные действия. 

Где записываются события Sysmon

В современных версиях Windows события Sysmon записываются в:

Applications and Services Logs -> Microsoft -> Windows -> Sysmon -> Operational   

Метки времени событий записываются в формате UTC. 

Так как sysmon встроен в Windows, события всегда записываются с помощью стандартной инфраструктуры журнала событий Windows и могут собираться с помощью сборок событий Windows, агентов управления информационной безопасностью и событиями (SIEM) или облачных конвейеров приема журналов. 

Что представляет событие Sysmon

Событие Sysmon — это структурированная запись наблюдаемого системного действия. В нем описано:

  • Что произошло (тип события)

  • Когда это произошло (метка времени)

  • Какой процесс был задействован

  • Какой контекст окружал действие (командная строка, пути к файлам, сведения о сети)

События sysmon:

  • Наблюдения, а не интерпретируемые

  • Детерминированные, а не вероятностные

  • Составные, то есть они получают смысл при корреляции

Ни одно событие само по себе не указывает на вредоносные действия. 

События как стандартные блоки поведения

События Sysmon наиболее полезны, если они рассматриваются как сигналы поведения, образующие последовательности. 

Пример

  • Создание процесса — что-то запущено

  • DNS-запрос — разрешенная инфраструктура

  • Сетевое подключение — обмен данными извне

  • Создание файла — он писал артефакты

  • Событие реестра — оно сохранено

Понимание sysmon означает, что мышление в цепочках и временных шкалах, а не изолированных событиях. 

Основные категории событий

События Sysmon можно сгруппировать концептуально по типу поведения системы, которые они описывают. 

 

Жизненный цикл процесса и выполнение

Эти события описывают, как процессы запускаются, выполняются и взаимодействуют с ними. 

Создание процесса (событие с идентификатором 1) 

Записывает подробные сведения о вновь созданном процессе, в том числе:

  • Полная командная строка

  • Родительский процесс

  • Криптографические хэши

  • Глобальный уникальный GUID процесса для корреляции

Это событие является основой для:

  • Анализ цепочки выполнения

  • Проверка командной строки

  • Охота на угрозы

 

Процесс завершен (событие с идентификатором 5) 

Записывает при завершении процесса. Полезно для:

  • Завершение временных шкал

  • Измерение длительности выполнения

  • Определение краткосрочных процессов

 

Доступ к процессу (идентификатор события 10) 

Записывает, когда один процесс открывает другой. Обычно это связано с:

  • Похищение учетных данных

  • Проверка памяти

  • Методы внедрения

Так как это событие может быть шумным, оно обычно используется с целевой фильтрацией. 

 

CreateRemoteThread (событие с идентификатором 8) 

Указывает, что процесс создал поток в другом процессе — классическом методе внедрения кода. 

Это событие имеет низкий уровень громкости и высокий уровень сигнала. 

 

Незаконное изменение процесса (событие с идентификатором 25) 

Создается, когда Sysmon обнаруживает методы обработки изображений, такие как:

  • Обработка выпадения

  • Herpaderping

Это событие указывает на попытки замаскировать или заменить содержимое процесса и тесно связано с расширенными вредоносными программами. 

 

Действия по разрешению сетей и имен

Эти события описывают взаимодействие процессов с сетью. 

 

Network Connect (событие с идентификатором 3) 

Записывает подключения TCP и UDP, инициированные процессами, в том числе:

  • Исходный и целевой адреса

  • Порты

  • Протоколы

  • Идентификатор GUID связанного процесса

Это событие по умолчанию отключено из-за тома и должно быть включено выборочно. 

 

ЗАПРОС DNS (идентификатор события 22) 

Записывает DNS-запросы, выданные процессом, независимо от того, успешно ли выполнен запрос. 

События DNS особенно полезны для:

  • Определение внешней инфраструктуры

  • Обнаружение поведения маяка

  • Поиск вредоносных программ, таких как майнеры криптовалют

События DNS часто предоставляют ранние индикаторы, даже если сетевой трафик зашифрован. 

 

Действия файловой системы

Эти события описывают создание, изменение и удаление файлов. 

 

Создание файла (событие с идентификатором 11) 

Записывает при создании или перезаписи файла. 

Распространенные варианты использования:

  • Обнаружение удаленных полезных данных

  • Мониторинг расположений запуска и сохраняемости

  • Исследование промежуточного использования вредоносных программ

 

Изменение времени создания файла (событие с идентификатором 2) 

Записывает, когда процесс явно изменяет метку времени создания файла. 

Злоумышленники могут использовать его, чтобы скрыть истинное происхождение вредоносных файлов, хотя законное программное обеспечение также выполняет это действие. 

 

Удаление файла (событие с идентификатором 23 /26) 

Записывает действие удаления файлов. 

  • Событие с идентификатором 23 также архивирует удаленный файл

  • Удаление записей события с идентификатором 26 без архивации

Эти события полезны для анализа программ-шантажистов и очистки. 

 

Создание файла Stream хэш (событие с идентификатором 15) 

Записи с именами альтернативных потоков данных, включая потоки Zone.Identifier. 

Это событие помогает обнаруживать файлы, исходящие из Интернета и действия скачивания в браузере. 

 

Обнаружение и блокировка исполняемых файлов (события 27–29) 

Эти события записываются при обнаружении или блокировке исполняемых файлов во время создания. 

Они предоставляют представление о промежуточном поведении исполняемых файлов и принудительном применении защиты. 

 

Загрузка модуля и драйвера

Эти события описывают, как код вводится в память. 

 

Загрузка изображения (событие с идентификатором 7) 

Записывает, когда dll или исполняемый образ загружается в процесс. 

Это событие эффективно для:

  • Обнаружение внедрения библиотеки DLL

  • Анализ неопубликоемой загрузки

Из-за большого объема его следует тщательно настроить. 

 

Загрузка драйвера (событие с идентификатором 6) 

Записывает при загрузке драйвера ядра, включая сведения о сигнатуре и хэшах. 

Загрузка драйверов происходит редко и имеет большое влияние, что делает это событие полезным для обнаружения угроз на уровне ядра. 

 

Конфигурация, сохраняемость и IPC

Эти события описывают изменения конфигурации системы и взаимодействие между процессами. 

 

События реестра (идентификаторы событий 12–14) 

Создание, изменение, удаление и переименование раздела реестра. 

Они необходимы для обнаружения:

  • Механизмы сохраняемости

  • Изменение конфигурации

  • Поведение при настройке вредоносных программ

Sysmon использует сокращенные имена корневых ключей (например, HKLM, HKCU) для нормализации данных. 

 

События именованного канала (идентификаторы событий 17–18) 

Создание записей и подключение к именованным каналам. 

Именованные каналы часто используются для:

  • Взаимодействие между процессами

  • Координация вредоносных программ между компонентами

События WMI (идентификаторы событий 19–21) 

Регистрация фильтра WMI, потребителя и привязок. 

WMI — это общий механизм сохраняемости и выполнения для вредоносных программ без файлов. 

События службы Sysmon и конфигурации

Изменение состояния службы (событие с идентификатором 4) 

Записывает, когда служба Sysmon запускается или останавливается. 

Непредвиденные остановки могут указывать на попытки изменения. 

 

Изменение конфигурации (событие с идентификатором 16) 

Записывает при обновлении конфигурации Sysmon. 

Это событие обеспечивает возможность аудита и отслеживание изменений для выбора данных телеметрии. 

Обработка ошибок

Ошибка (идентификатор события 255) 

Указывает на внутренние ошибки sysmon, такие как:

  • Исчерпание ресурсов

  • Неудачные операции

  • Внутренние ошибки

Эти события должны отслеживаться для обеспечения надежности телеметрии. 

 

События в качестве доказательства, а не оповещения

Основной принцип Sysmon — нейтралитет. 

  • События не указывают на злонамеренный умысел

  • Редкое не означает злонамеренно

  • Общее не означает, что безопасно

Смысл возникает через:

  • Корреляции

  • Контекст

  • Поведенческие шаблоны с течением времени

 

Сводка

События Sysmon предоставляют необработанные данные телеметрии поведения, необходимые для понимания того, как работают системы и как происходят атаки. Каждое событие фиксирует определенный класс действий, и их истинное значение происходит от их корреляции с временными шкалами и поведенческими повествованиями. 

Хорошо настроенные и хорошо понятные события Sysmon обеспечивают:

  • Охота на угрозы

  • Реагирование на инциденты

  • Судебно-медицинский анализ

  • Долгосрочное базисное поведение

 

 

  • Last updated on