Läs på engelska

Dela via


Sysmon v15.15

Efter Mark Russinovich och Thomas Garnier

Publicerad: 23 juli 2024

Ladda nedLadda ned Sysmon (4,6 MB)

Ladda ned Sysmon för Linux (GitHub)

Introduktion

System Monitor (Sysmon) är en Windows-systemtjänst och enhetsdrivrutin som, när den är installerad på ett system, förblir bosatt i systemomstarter för att övervaka och logga systemaktivitet till Windows-händelseloggen. Den innehåller detaljerad information om processskapanden, nätverksanslutningar och ändringar i tiden för att skapa filer. Genom att samla in de händelser som genereras med hjälp av Windows Event Collection eller SIEM-agenter och därefter analysera dem, kan du identifiera skadlig eller avvikande aktivitet och förstå hur inkräktare och skadlig kod fungerar i nätverket. Tjänsten körs som en skyddad process och tillåter därför inte en mängd olika användarlägesinteraktioner.

Observera att Sysmon inte tillhandahåller någon analys av de händelser som genereras och inte heller försöker dölja sig för angripare.

Översikt över Sysmon-funktioner

Sysmon innehåller följande funktioner:

  • Loggar bearbetar skapande med fullständig kommandorad för både aktuella och överordnade processer.
  • Registrerar hashen för processbildfiler med SHA1 (standard), MD5, SHA256 eller IMPHASH.
  • Flera hashar kan användas samtidigt.
  • Innehåller ett process-GUID i processen för att skapa händelser som möjliggör korrelation av händelser även när Windows återanvänder process-ID:er.
  • Innehåller ett sessions-GUID i varje händelse för att tillåta korrelation av händelser vid samma inloggningssession.
  • Loggar inläsning av drivrutiner eller DLL:er med sina signaturer och hashvärden.
  • Loggar öppnas för rå läsåtkomst för diskar och volymer.
  • Du kan också logga nätverksanslutningar, inklusive varje anslutnings källprocess, IP-adresser, portnummer, värdnamn och portnamn.
  • Identifierar ändringar i tiden för att skapa filer för att förstå när en fil verkligen skapades. Ändring av tidsstämplar för filskapande är en teknik som ofta används av skadlig kod för att täcka dess spår.
  • Läs in konfigurationen automatiskt om den ändras i registret.
  • Regelfiltrering för att inkludera eller exkludera vissa händelser dynamiskt.
  • Genererar händelser från början av startprocessen för att samla in aktivitet som gjorts av även avancerad skadlig kod i kernelläge.

Skärmbilder

EventViewer

Förbrukning

Vanlig användning med enkla kommandoradsalternativ för att installera och avinstallera Sysmon, samt för att kontrollera och ändra dess konfiguration:

Installera: sysmon64 -i [<configfile>]
Uppdateringskonfiguration: sysmon64 -c [<configfile>]
Installera händelsemanifest: sysmon64 -m
Utskriftsschema: sysmon64 -s
Avinstallera: sysmon64 -u [force]

Parameter Description
-i Installera tjänsten och drivrutinen. Du kan också ta en konfigurationsfil.
-c Uppdatera konfigurationen av en installerad Sysmon-drivrutin eller dumpa den aktuella konfigurationen om inget annat argument anges. Du kan också ta en konfigurationsfil.
-m Installera händelsemanifestet (även implicit gjort vid tjänstinstallation).
-s Skriv ut schemadefinition för utskrift.
-u Avinstallera tjänsten och drivrutinen. Med hjälp av -u force orsaker avinstallera att fortsätta även när vissa komponenter inte är installerade.

Tjänsten loggar händelser omedelbart och drivrutinen installeras som en startdrivrutin för att samla in aktivitet från början av starten som tjänsten kommer att skriva till händelseloggen när den startar.

På Vista och senare lagras händelser i Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. I äldre system skrivs händelser till händelseloggen System .

Om du behöver mer information om konfigurationsfiler använder du -? config kommandot .

Ange -accepteula för att automatiskt godkänna licensavtalet vid installationen, annars uppmanas du att acceptera det interaktivt.

Varken installation eller avinstallation kräver en omstart.

Exempel

Installera med standardinställningar (processbilder hashas med SHA1 och ingen nätverksövervakning)

sysmon -accepteula -i

Installera Sysmon med en konfigurationsfil (enligt beskrivningen nedan)

sysmon -accepteula -i c:\windows\config.xml

Avinstallera

sysmon -u

Dumpa den aktuella konfigurationen

sysmon -c

Konfigurera om en aktiv Sysmon med en konfigurationsfil (enligt beskrivningen nedan)

sysmon -c c:\windows\config.xml

Ändra konfigurationen till standardinställningar

sysmon -c --

Visa konfigurationsschemat

sysmon -s

Händelser

På Vista och senare lagras händelser i Applications and Services Logs/Microsoft/Windows/Sysmon/Operationaloch på äldre systemhändelser skrivs till händelseloggen System . Händelsetidsstämplar är i UTC-standardtid.

Följande är exempel på varje händelsetyp som Sysmon genererar.

Händelse-ID 1: Skapa process

Händelsen för att skapa processen ger utökad information om en nyskapade process. Den fullständiga kommandoraden innehåller kontext för processkörningen. Fältet ProcessGUID är ett unikt värde för den här processen i en domän för att göra händelsekorrelation enklare. Hashen är en fullständig hash för filen med algoritmerna i fältet HashType .

Händelse-ID 2: En process ändrade en tid för att skapa en fil

Tidshändelsen för ändringsfilens skapande registreras när en tid för att skapa en fil uttryckligen ändras av en process. Den här händelsen hjälper till att spåra den verkliga skapandetiden för en fil. Angripare kan ändra filskapandetiden för en bakdörr så att den ser ut som om den installerades med operativsystemet. Observera att många processer på ett legitimt sätt ändrar skapandetiden för en fil. Det indikerar inte nödvändigtvis skadlig aktivitet.

Händelse-ID 3: Nätverksanslutning

Nätverksanslutningshändelsen loggar TCP/UDP-anslutningar på datorn. Det är inaktiverat som standard. Varje anslutning är länkad till en process via fälten ProcessId och ProcessGuid . Händelsen innehåller även IP-adresser, portnummer och IPv6-status för käll- och målvärdnamnen.

Händelse-ID 4: Sysmon-tjänsttillståndet har ändrats

Ändringshändelsen för tjänsttillstånd rapporterar tillståndet för Sysmon-tjänsten (startad eller stoppad).

Händelse-ID 5: Processen avslutades

Processen avslutar händelserapporter när en process avslutas. Den innehåller UtcTimeProcessGuid , och ProcessId för processen.

Händelse-ID 6: Drivrutinen har lästs in

Drivrutinsinlästa händelser innehåller information om en drivrutin som läses in i systemet. De konfigurerade hashvärdena tillhandahålls samt signaturinformation. Signaturen skapas asynkront av prestandaskäl och anger om filen togs bort efter inläsningen.

Händelse-ID 7: Avbildningen läses in

Avbildningen läste in händelseloggar när en modul läses in i en specifik process. Den här händelsen är inaktiverad som standard och måste konfigureras med alternativet "–l". Den anger i vilken process modulen läses in, hashvärden och signaturinformation. Signaturen skapas asynkront av prestandaskäl och anger om filen togs bort efter inläsningen. Den här händelsen bör konfigureras noggrant eftersom övervakning av alla avbildningsbelastningshändelser genererar en betydande mängd loggning.

Händelse-ID 8: CreateRemoteThread

Händelsen CreateRemoteThread identifierar när en process skapar en tråd i en annan process. Den här tekniken används av skadlig kod för att mata in kod och dölja i andra processer. Händelsen anger käll- och målprocessen. Den innehåller information om koden som ska köras i den nya tråden: StartAddress, StartModule och StartFunction. Observera att StartModule fälten och StartFunction härleds kan vara tomma om startadressen ligger utanför inlästa moduler eller kända exporterade funktioner.

Händelse-ID 9: RawAccessRead

Händelsen RawAccessRead identifierar när en process utför läsåtgärder från enheten med hjälp av tilldelningen \\.\ . Den här tekniken används ofta av skadlig kod för dataexfiltrering av filer som är låsta för läsning, samt för att undvika verktyg för filåtkomstgranskning. Händelsen anger källprocessen och målenheten.

Händelse-ID 10: ProcessAccess

Processen som används för händelserapporter när en process öppnar en annan process, en åtgärd som ofta följs av informationsfrågor eller läser och skriver adressutrymmet för målprocessen. Detta möjliggör identifiering av hackningsverktyg som läser minnesinnehållet i processer som Lokal säkerhetsmyndighet (Lsass.exe) för att stjäla autentiseringsuppgifter för användning i Pass-the-Hash-attacker. Aktivering av den kan generera betydande mängder loggning om det finns diagnostikverktyg aktiva som upprepade gånger öppnar processer för att fråga deras tillstånd, så det bör vanligtvis bara göras med filter som tar bort förväntade åtkomster.

Händelse-ID 11: FilSkapa

Filskapandeåtgärder loggas när en fil skapas eller skrivs över. Den här händelsen är användbar för att övervaka platser för automatisk start, till exempel startmappen, samt tillfälliga kataloger och nedladdningskataloger, som är vanliga platser där skadlig kod sjunker under den första infektionen.

Händelse-ID 12: RegistryEvent (skapa och ta bort objekt)

Registernyckeln och värdet för att skapa och ta bort åtgärder mappas till den här händelsetypen, vilket kan vara användbart för övervakning av ändringar i registrets automatiska startplatser eller specifika ändringar av registret för skadlig kod.

Sysmon använder förkortade versioner av registerrotnyckelnamn med följande mappningar:

Nyckelnamn Förkortning
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR

Händelse-ID 13: RegistryEvent (värdeuppsättning)

Den här registerhändelsetypen identifierar ändringar av registervärdet. Händelsen registrerar värdet som skrivits för registervärden av typen DWORD och QWORD.

Händelse-ID 14: RegistryEvent (nyckel- och värdebyte)

Registernyckeln och värdebytet mappas till den här händelsetypen och registrerar det nya namnet på nyckeln eller värdet som har bytt namn.

Händelse-ID 15: FileCreateStreamHash

Den här händelsen loggar när en namngiven filström skapas och genererar händelser som loggar hashen för innehållet i filen som strömmen har tilldelats (den namnlösa strömmen) samt innehållet i den namngivna strömmen. Det finns varianter av skadlig kod som släpper sina körbara filer eller konfigurationsinställningar via webbläsarnedladdningar, och den här händelsen syftar till att samla in den baserat på att webbläsaren bifogar en Zone.Identifier "webbmarkering"-ström.

Händelse-ID 16: ServiceConfigurationChange

Den här händelsen loggar ändringar i Sysmon-konfigurationen , till exempel när filtreringsreglerna uppdateras.

Händelse-ID 17: PipeEvent (pipe created)

Den här händelsen genererar när en namngiven pipe skapas. Skadlig kod använder ofta namngivna rör för kommunikation mellan processer.

Händelse-ID 18: PipeEvent (rör ansluten)

Den här händelsen loggar när en namngiven pipe-anslutning görs mellan en klient och en server.

Händelse-ID 19: WmiEvent (WmiEventFilter-aktivitet identifierad)

När ett WMI-händelsefilter registreras, vilket är en metod som används av skadlig kod för att köra, loggar den här händelsen WMI-namnområdet, filternamnet och filteruttrycket.

Händelse-ID 20: WmiEvent (WmiEventConsumer-aktivitet identifierad)

Den här händelsen loggar registreringen av WMI-konsumenter och registrerar konsumentnamnet, loggen och målet.

Händelse-ID 21: WmiEvent (WmiEventConsumerToFilter-aktivitet identifierad)

När en konsument binder till ett filter loggar den här händelsen konsumentnamnet och filtersökvägen.

Händelse-ID 22: DNSEvent (DNS-fråga)

Den här händelsen genereras när en process kör en DNS-fråga, oavsett om resultatet lyckas eller misslyckas, cachelagras eller inte. Telemetrin för den här händelsen lades till för Windows 8.1 så att den inte är tillgänglig i Windows 7 och tidigare.

Händelse-ID 23: FileDelete (Arkivborttagning arkiverad)

En fil har tagits bort. För att logga händelsen sparas även den borttagna filen i ArchiveDirectory (vilket är C:\Sysmon som standard). Under normala driftsförhållanden kan den här katalogen växa till en orimlig storlek – se händelse-ID 26: FileDeleteDetected för liknande beteende men utan att spara de borttagna filerna.

Händelse-ID 24: UrklippÄndra (nytt innehåll i Urklipp)

Den här händelsen genereras när systemets Urklippsinnehåll ändras.

Händelse-ID 25: ProcessTampering (Ändring av processavbildning)

Den här händelsen genereras när processgömningstekniker som "ihålig" eller "herpaderp" identifieras.

Händelse-ID 26: FileDeleteDetected (Filborttagning loggad)

En fil har tagits bort.

Händelse-ID 27: FileBlockExecutable

Den här händelsen genereras när Sysmon identifierar och blockerar skapandet av körbara filer (PE-format).

Händelse-ID 28: FileBlockShredding

Den här händelsen genereras när Sysmon identifierar och blockerar filstrimlande från verktyg som SDelete.

Händelse-ID 29: FileExecutableDetected

Den här händelsen genereras när Sysmon identifierar skapandet av en ny körbar fil (PE-format).

Händelse-ID 255: Fel

Den här händelsen genereras när ett fel inträffade i Sysmon. De kan inträffa om systemet är hårt belastat och vissa uppgifter inte kunde utföras eller om det finns ett fel i Sysmon-tjänsten, eller även om vissa säkerhets- och integritetsvillkor inte uppfylls. Du kan rapportera eventuella buggar på Sysinternals-forumet eller via Twitter (@markrussinovich).

Konfigurationsfiler

Konfigurationsfiler kan anges efter konfigurationsväxlarna -i (installation) eller -c (installation). De gör det enklare att distribuera en förinställd konfiguration och filtrera insamlade händelser.

En enkel XML-konfigurationsfil ser ut så här:

<Sysmon schemaversion="4.82">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    <!-- Do not log process termination -->
    <ProcessTerminate onmatch="include" />
    <!-- Log network connection if the destination port equal 443 -->
    <!-- or 80, and process isn't InternetExplorer -->
    <NetworkConnect onmatch="include">
      <DestinationPort>443</DestinationPort>
      <DestinationPort>80</DestinationPort>
    </NetworkConnect>
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplore.exe</Image>
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

Konfigurationsfilen innehåller ett schemaversionsattribut på Sysmon-taggen. Den här versionen är oberoende av sysmon-binärversionen och tillåter parsning av äldre konfigurationsfiler. Du kan hämta den aktuella schemaversionen med hjälp av kommandoraden "-? config". Konfigurationsposterna finns direkt under taggen Sysmon och filtren finns under taggen EventFiltering .

Konfigurationsposter

Konfigurationsposter liknar kommandoradsväxlar och innehåller följande

Bland konfigurationsposterna finns följande:

Format Värde beskrivning
ArchiveDirectory String Namn på kataloger vid volymrötter till vilka kopiera-vid-ta bort-filer flyttas. Katalogen skyddas med en system-ACL (du kan använda PsExec från Sysinternals för att komma åt katalogen med ).psexec -sid cmd Standard: Sysmon
CheckRevocation Booleskt Kontrollerar kontroller av återkallning av signaturer. Standard: True
CopyOnDeletePE Booleskt Bevarar borttagna körbara bildfiler. Standard: False
CopyOnDeleteSIDs Strängar Kommaavgränsad lista över konto-SID:er för vilka filborttagningar ska bevaras.
CopyOnDeleteExtensions Strängar Tillägg för filer som bevaras vid borttagning.
CopyOnDeleteProcesses Strängar Processnamn för vilka filborttagningar ska bevaras.
DnsLookup Booleskt Styr omvänd DNS-sökning. Standard: True
DriverName String Använder angivet namn för drivrutins- och tjänstbilder.
HashAlgorithms Strängar Hash-algoritmer för att ansöka om hashning. Algoritmer som stöds är MD5, SHA1, SHA256, IMPHASH och * (alla). Standard: None

Kommandoradsväxlar har en konfigurationspost som beskrivs i Sysmon-användningsutdata. Parametrar är valfria baserat på taggen. Om en kommandoradsväxel också aktiverar en händelse måste den konfigureras genom dess filtertagg. Du kan ange växeln -s så att Sysmon skriver ut det fullständiga konfigurationsschemat, inklusive händelsetaggar samt fältnamn och typer för varje händelse. Här är till exempel schemat för RawAccessRead händelsetypen:

<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">  
  <data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="ProcessGuid" inType="win:GUID"/>  
  <data name="ProcessId" inType="win:UInt32" outType="win:PID"/>  
  <data name="Image" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="Device" inType="win:UnicodeString" outType="xs:string"/>  
</event>  

Händelsefiltreringsposter

Med händelsefiltrering kan du filtrera genererade händelser. I många fall kan händelser vara bullriga och samla allt är inte möjligt. Du kanske till exempel bara är intresserad av nätverksanslutningar för en viss process, men inte alla. Du kan filtrera utdata på värden och minska mängden data som ska samlas in.

Varje händelse har en egen filtertagg under noden EventFiltering i en konfigurationsfil:

ID Tagg Event
1 ProcessSkapa Process skapa
2 FileCreateTime Tiden då filen skapades
3 NetworkConnect Nätverksanslutning har identifierats
4 saknas Ändring av sysmon-tjänsttillstånd (kan inte filtreras)
5 ProcessTerminate Processen avslutades
6 DriverLoad Drivrutinen har lästs in
7 ImageLoad Avbildningen har lästs in
8 CreateRemoteThread CreateRemoteThread har identifierats
9 RawAccessRead RawAccessRead har identifierats
10 ProcessAccess Process som används
11 FilSkapa Fil som skapats
12 RegistryEvent Registerobjektet har lagts till eller tagits bort
13 RegistryEvent Registervärdeuppsättning
14 RegistryEvent Registerobjektet har bytt namn
15 FileCreateStreamHash Filström som skapats
16 saknas Konfigurationsändring för Sysmon (kan inte filtreras)
17 PipeEvent Namngivet rör har skapats
18 PipeEvent Namngivet rör anslutet
19 WmiEvent WMI-filter
20 WmiEvent WMI-konsument
21 WmiEvent WMI-konsumentfilter
22 DNSQuery DNS-fråga
23 FileDelete Arkivborttagning arkiverad
24 ClipboardChange Nytt innehåll i Urklipp
25 ProcessTampering Bearbeta bildändring
26 FileDeleteDetected Filborttagning loggad
27 FileBlockExecutable Filblock körbar fil
28 FileBlockShredding Filblocksutstrimning
29 FileExecutableDetected Fil som kan köras har identifierats

Du kan också hitta dessa taggar i loggboken i aktivitetsnamnet.

onmatch Filtret tillämpas om händelser matchas. Det kan ändras med onmatch attributet för filtertaggen. Om värdet är "include"innebär det att endast matchade händelser inkluderas. Om den är inställd på "exclude"inkluderas händelsen förutom om en regel matchar. Du kan ange både en inkluderad filteruppsättning och en exkluderingsfilteruppsättning för varje händelse-ID, där exkluderingsmatchningar har företräde.

Varje filter kan innehålla noll eller fler regler. Varje tagg under filtertaggen är ett fältnamn från händelsen. Regler som anger ett villkor för samma fältnamn beter sig som OR-villkor, och de som anger ett annat fältnamn fungerar som AND-villkor. Fältregler kan också använda villkor för att matcha ett värde. Villkoren är följande (alla är skiftlägesokänsliga):

Condition Beskrivning
vara Standardvärden är lika med
är något Fältet är ett av de ; avgränsade värdena
är inte Värden skiljer sig
Innehåller Fältet innehåller det här värdet
innehåller alla Fältet innehåller något av de ; avgränsade värdena
innehåller alla Fältet innehåller alla ; avgränsade värden
Utesluter Fältet innehåller inte det här värdet
exkluderar alla Fältet innehåller inte ett eller flera av de ; avgränsade värdena
exkluderar alla Fältet innehåller inte något av de ; avgränsade värdena
börja med Fältet börjar med det här värdet
avslutas med Fältet slutar med det här värdet
börjar inte med Fältet börjar inte med det här värdet
slutar inte med Fältet slutar inte med det här värdet
mindre än Lexicographical jämförelse är mindre än noll
över Lexicographical jämförelse är mer än noll
bild Matcha en bildsökväg (fullständig sökväg eller endast bildnamn). Till exempel: lsass.exe matchar c:\windows\system32\lsass.exe

Du kan använda ett annat villkor genom att ange det som ett attribut. Detta utesluter nätverksaktivitet från processer med iexplore.exe i deras sökväg:

<NetworkConnect onmatch="exclude">
  <Image condition="contains">iexplore.exe</Image>
</NetworkConnect>

Om du vill ha En Sysmon-rapport som regelmatchning resulterade i att en händelse loggades lägger du till namn i regler:

<NetworkConnect onmatch="exclude">
  <Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>

Du kan använda både inkludera och exkludera regler för samma tagg, där exkluderingsregler åsidosätter inkludera regler. I en regel har filtervillkoren OR-beteende.

I exempelkonfigurationen som visades tidigare använder nätverksfiltret både en inkluderings- och exkluderingsregel för att samla in aktivitet till port 80 och 443 av alla processer utom de som har iexplore.exe i deras namn.

Det går också att åsidosätta det sätt på vilket regler kombineras med hjälp av en regelgrupp som gör att regelkombinationstypen för en eller flera händelser uttryckligen kan anges till AND eller OR.

I följande exempel visas den här användningen. I den första regelgruppen genereras en processskapandehändelse när timeout.exe endast körs med kommandoradsargumentet 100, men en processavslutshändelse genereras för avslutningen av ping.exe och timeout.exe.

  <EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>

Ladda nedLadda ned Sysmon (4,6 MB)

Körs på:

  • Klient: Windows 10 och senare.
  • Server: Windows Server 2016 och senare.