Sysmon v14.14

ve tarafından Mark RussinovichThomas Garnier

Yayımlanma Tarihi: 25 Ocak 2023

Sysmon İndir(4,6 MB)

Linux için Sysmon'u indirin (GitHub)

Giriş

Sistem İzleyicisi (Sysmon), bir sisteme yüklendikten sonra sistem etkinliğini Izlemek ve Windows olay günlüğüne kaydetmek için sistem yeniden başlatmalarında yerleşik olarak kalan bir Windows sistem hizmeti ve cihaz sürücüsüdür. İşlem oluşturma işlemleri, ağ bağlantıları ve dosya oluşturma süresindeki değişiklikler hakkında ayrıntılı bilgi sağlar. Windows Olay Koleksiyonu veya SIEM aracılarını kullanarak oluşturduğu olayları toplayarak ve daha sonra bunları analiz ederek kötü amaçlı veya anormal etkinlikleri tanımlayabilir ve davetsiz misafirlerin ve kötü amaçlı yazılımların ağınızda nasıl çalıştığını anlayabilirsiniz.

Sysmon'un oluşturduğu olayların analizini sağlamadığını ve kendisini saldırganlardan korumaya veya gizlemeye çalışmadığını unutmayın.

Sysmon Özelliklerine Genel Bakış

Sysmon aşağıdaki özellikleri içerir:

  • Hem geçerli hem de üst işlemler için tam komut satırıyla işlem oluşturmayı günlüğe kaydeder.
  • SHA1 (varsayılan), MD5, SHA256 veya IMPHASH kullanarak işlem görüntüsü dosyalarının karması kaydeder.
  • Aynı anda birden çok karma kullanılabilir.
  • Windows işlem kimliklerini yeniden kullansa bile olayların bağıntısını sağlamak için işlem oluşturma olaylarına bir işlem GUID'i ekler.
  • Aynı oturum açma oturumundaki olayların bağıntısına izin vermek için her olaya bir oturum GUID'i ekler.
  • Sürücülerin veya DLL'lerin yüklenmesini imzalarıyla ve karmalarıyla günlüğe kaydeder.
  • Günlükler, disklerin ve birimlerin ham okuma erişimi için açılır.
  • İsteğe bağlı olarak, her bağlantının kaynak işlemi, IP adresleri, bağlantı noktası numaraları, ana bilgisayar adları ve bağlantı noktası adları dahil olmak üzere ağ bağlantılarını günlüğe kaydeder.
  • Bir dosyanın gerçekten ne zaman oluşturulduğunu anlamak için dosya oluşturma süresindeki değişiklikleri algılar. Dosya oluşturma zaman damgalarının değiştirilmesi, kötü amaçlı yazılımlar tarafından izlerini örtmek için yaygın olarak kullanılan bir tekniktir.
  • Kayıt defterinde değiştirilirse yapılandırmayı otomatik olarak yeniden yükleyin.
  • Belirli olayları dinamik olarak dahil etmek veya hariç tutmak için kural filtreleme.
  • Gelişmiş çekirdek modu kötü amaçlı yazılımları tarafından yapılan etkinliği yakalamak için önyükleme işleminin başlarından olaylar oluşturur.

Ekran görüntüleri

EventViewer

Kullanım

Sysmon'u yükleyip kaldırmanın yanı sıra yapılandırmasını denetlemek ve değiştirmek için basit komut satırı seçeneklerini içeren yaygın kullanım:

Yüklemek: sysmon64 -i [<configfile>]
Güncelleştirme yapılandırması: sysmon64 -c [<configfile>]
Olay bildirimini yükleme: sysmon64 -m
Şemayı yazdır: sysmon64 -s
Kaldırmak: sysmon64 -u [force]

Parametre Açıklama
-i Hizmeti ve sürücüyü yükleyin. İsteğe bağlı olarak bir yapılandırma dosyası alın.
-C Yüklü bir Sysmon sürücüsünün yapılandırmasını güncelleştirin veya başka bir bağımsız değişken sağlanmazsa geçerli yapılandırmanın dökümünü alın. İsteğe bağlı olarak bir yapılandırma dosyası alır.
-M Olay bildirimini yükleyin (örtük olarak hizmet yüklemesinde de yapılır).
-S Yapılandırma şeması tanımını yazdırın.
-U Hizmeti ve sürücüyü kaldırın. Bazı bileşenler yüklü olmasa bile kaldırma işleminin devam etme nedenlerini kullanmak -u force .

Hizmet olayları hemen günlüğe kaydeder ve sürücü, önyüklemenin başlarından başlayarak hizmetin başlatıldığında olay günlüğüne yazacağı etkinliği yakalamak için önyükleme başlatma sürücüsü olarak yüklenir.

Vista ve üzeri sürümlerde olaylar içinde Applications and Services Logs/Microsoft/Windows/Sysmon/Operationaldepolanır. Eski sistemlerde olaylar olay günlüğüne yazılır System .

Yapılandırma dosyaları hakkında daha fazla bilgiye ihtiyacınız varsa komutunu kullanın -? config .

Yüklemede EULA'yı otomatik olarak kabul etmek için belirtin -accepteula , aksi takdirde etkileşimli olarak kabul etmek isteyip istemediğiniz sorulur.

Yükleme veya kaldırma işlemi yeniden başlatma gerektirmez.

Örnekler

Varsayılan ayarlarla yükleme (SHA1 ile karma ve ağ izlemesi olmayan işlem görüntüleri)

sysmon -accepteula -i

Sysmon'u bir yapılandırma dosyasıyla yükleme (aşağıda açıklandığı gibi)

sysmon -accepteula -i c:\windows\config.xml

Kaldırma

sysmon -u

Geçerli yapılandırmanın dökümünü al

sysmon -c

Etkin sysmon'u yapılandırma dosyasıyla yeniden yapılandırma (aşağıda açıklandığı gibi)

sysmon -c c:\windows\config.xml

Yapılandırmayı varsayılan ayarlara değiştirme

sysmon -c --

Yapılandırma şemasını gösterme

sysmon -s

Ekinlikler

Vista ve üzeri sürümlerde olaylar içinde Applications and Services Logs/Microsoft/Windows/Sysmon/Operationaldepolanır ve eski sistemlerde olaylar olay günlüğüne yazılır System . Olay zaman damgaları UTC standart saatindedir.

Aşağıda Sysmon'un oluşturduğu her olay türüne örnek verilmiştir.

Olay Kimliği 1: İşlem oluşturma

İşlem oluşturma olayı, yeni oluşturulan işlem hakkında genişletilmiş bilgi sağlar. Tam komut satırı, işlemin yürütülmesiyle ilgili bağlam sağlar. Alan ProcessGUID , olay bağıntısını kolaylaştırmak için etki alanı genelinde bu işlem için benzersiz bir değerdir. Karma, alandaki algoritmalarla dosyanın tam karmasıdır HashType .

Olay Kimliği 2: İşlem, dosya oluşturma zamanını değiştirdi

Dosya oluşturma zamanı bir işlem tarafından açıkça değiştirildiğinde değişiklik dosyası oluşturma zamanı olayı kaydedilir. Bu olay, bir dosyanın gerçek oluşturma zamanını izlemeye yardımcı olur. Saldırganlar, arka kapı oluşturma süresini değiştirerek işletim sistemiyle yüklenmiş gibi görünmesini sağlayabilir. Birçok işlemin dosyanın oluşturulma zamanını yasal olarak değiştirdiğini unutmayın; kötü amaçlı etkinliği belirtmesi şart değildir.

Olay Kimliği 3: Ağ bağlantısı

Ağ bağlantısı olayı, makinedeki TCP/UDP bağlantılarını günlüğe kaydeder. Varsayılan olarak devre dışıdır. Her bağlantı ve ProcessGuid alanları aracılığıyla ProcessId bir işleme bağlanır. Olay ayrıca kaynak ve hedef ana bilgisayar adlarının IP adreslerini, bağlantı noktası numaralarını ve IPv6 durumunu içerir.

Olay Kimliği 4: Sysmon hizmet durumu değiştirildi

Hizmet durumu değişiklik olayı Sysmon hizmetinin durumunu bildirir (başlatıldı veya durduruldu).

Olay Kimliği 5: İşlem sonlandırıldı

İşlem sonlandırıldığında olay sonlandırıldığında işlem raporlanır. İşlemin UtcTimeve ProcessGuidProcessId değerlerini sağlar.

Olay Kimliği 6: Sürücü yüklendi

Sürücü tarafından yüklenen olaylar, sisteme yüklenen bir sürücü hakkında bilgi sağlar. Yapılandırılan karmalar ve imza bilgileri sağlanır. İmza, performans nedenleriyle zaman uyumsuz olarak oluşturulur ve dosyanın yüklendikten sonra kaldırılıp kaldırılmadığını gösterir.

Olay Kimliği 7: Görüntü yüklendi

Yüklenen görüntü, belirli bir işlemde bir modül yüklendiğinde olay günlüğe kaydeder. Bu olay varsayılan olarak devre dışıdır ve "–l" seçeneğiyle yapılandırılması gerekir. Modülün yüklendiği işlemi, karmaları ve imza bilgilerini gösterir. İmza, performans nedenleriyle zaman uyumsuz olarak oluşturulur ve dosyanın yüklendikten sonra kaldırılıp kaldırılmadığını gösterir. Tüm görüntü yükleme olaylarının izlenmesi önemli miktarda günlük kaydı oluşturacağı için bu olay dikkatli bir şekilde yapılandırılmalıdır.

Olay Kimliği 8: CreateRemoteThread

Olay, CreateRemoteThread bir işlemin başka bir işlemde iş parçacığı oluşturduğunu algılar. Bu teknik kötü amaçlı yazılım tarafından kod eklemek ve diğer işlemlerde gizlemek için kullanılır. Olay, kaynak ve hedef işlemi gösterir. Yeni iş parçacığında çalıştırılacak kod hakkında bilgi verir: StartAddress, StartModule ve StartFunction. ve StartFunction alanlarının StartModule çıkarıldığını, başlangıç adresi yüklü modüllerin veya bilinen dışarı aktarılan işlevlerin dışındaysa boş olabileceğini unutmayın.

Olay Kimliği 9: RawAccessRead

Olay, RawAccessRead bir işlemin açıklamayı kullanarak sürücüden okuma işlemlerini ne zaman yürüttüğünü \\.\ algılar. Bu teknik genellikle kötü amaçlı yazılımlar tarafından okuma için kilitlenen dosyaların veri sızdırması ve dosya erişimi denetim araçlarının önlenmesi için kullanılır. Olay, kaynak işlemi ve hedef cihazı gösterir.

Olay Kimliği 10: ProcessAccess

İşlem erişilen olay, bir işlem başka bir işlem açtığında, genellikle bilgi sorguları tarafından izlenen veya hedef işlemin adres alanını okuyup yazan bir işlemdir. Bu, Pass-the-Hash saldırılarında kullanılmak üzere kimlik bilgilerini çalmak için Yerel Güvenlik Yetkilisi (Lsass.exe) gibi işlemlerin bellek içeriğini okuyan korsanlık araçlarının algılanmasına olanak tanır. Bu özelliğin etkinleştirilmesi, durumlarını sorgulamak için işlemleri tekrar tekrar açan tanılama yardımcı programları etkinse önemli miktarda günlük oluşturabilir, bu nedenle genellikle yalnızca beklenen erişimleri kaldıran filtrelerle yapılması gerekir.

Olay Kimliği 11: DosyaOluştur

Dosya oluşturma işlemleri, bir dosya oluşturulduğunda veya üzerine yazıldığında günlüğe kaydedilir. Bu olay, Başlangıç klasörü gibi otomatik başlangıç konumlarının yanı sıra ilk bulaşma sırasında kötü amaçlı yazılımların düştüğü yaygın yerler olan geçici ve indirme dizinlerini izlemek için yararlıdır.

Olay Kimliği 12: RegistryEvent (Nesne oluşturma ve silme)

Kayıt defteri anahtarı ve değeri oluşturma ve silme işlemleri bu olay türüyle eşlenir. Bu, Kayıt defteri otomatik başlangıç konumlarında yapılan değişiklikleri veya belirli kötü amaçlı yazılım kayıt defteri değişikliklerini izlemek için yararlı olabilir.

Sysmon, kayıt defteri kök anahtar adlarının kısaltılmış sürümlerini aşağıdaki eşlemelerle kullanır:

Anahtar adı Kısaltma
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR

Olay Kimliği 13: RegistryEvent (Değer Kümesi)

Bu Kayıt Defteri olay türü Kayıt defteri değer değişikliklerini tanımlar. olay, ve QWORDtüründeki DWORD Kayıt Defteri değerleri için yazılan değeri kaydeder.

Olay Kimliği 14: RegistryEvent (Anahtar ve Değer Yeniden Adlandırma)

Kayıt defteri anahtarı ve değer yeniden adlandırma işlemleri bu olay türüyle eşlenip yeniden adlandırılan anahtarın veya değerin yeni adını kaydeder.

Olay Kimliği 15: FileCreateStreamHash

Bu olay, adlandırılmış bir dosya akışı oluşturulduğunda günlüğe kaydeder ve akışın atandığı dosyanın içeriğinin karması (adsız akış) ve adlandırılmış akışın içeriğini günlüğe kaydeden olaylar oluşturur. Tarayıcı indirmeleri aracılığıyla yürütülebilir dosyalarını veya yapılandırma ayarlarını bırakan kötü amaçlı yazılım çeşitleri vardır ve bu olay, tarayıcının bir Zone.Identifier "web işareti" akışı ekleyerek bunu yakalamayı hedeflemektedir.

Olay Kimliği 16: ServiceConfigurationChange

Bu olay Sysmon yapılandırmasındaki değişiklikleri günlüğe kaydeder. Örneğin, filtreleme kuralları güncelleştirildiğinde.

Olay Kimliği 17: PipeEvent (Kanal Oluşturuldu)

Bu olay, adlandırılmış bir kanal oluşturulduğunda oluşturulur. Kötü amaçlı yazılımlar genellikle işlemler arası iletişim için adlandırılmış kanallar kullanır.

Olay Kimliği 18: PipeEvent (Kanal Bağlı)

Bu olay, istemci ile sunucu arasında adlandırılmış kanal bağlantısı yapıldığında günlüğe kaydedilir.

Olay Kimliği 19: WmiEvent (WmiEventFilter etkinliği algılandı)

Kötü amaçlı yazılım tarafından yürütülmek üzere kullanılan bir yöntem olan wmi olay filtresi kaydedildiğinde, bu olay WMI ad alanını, filtre adını ve filtre ifadesini günlüğe kaydeder.

Olay Kimliği 20: WmiEvent (WmiEventConsumer etkinliği algılandı)

Bu olay WMI tüketicilerinin kaydını günlüğe kaydeder, tüketici adını, günlüğünü ve hedefini kaydeder.

Olay Kimliği 21: WmiEvent (WmiEventConsumerToFilter etkinliği algılandı)

Tüketici bir filtreye bağlandığında, bu olay tüketici adını ve filtre yolunu günlüğe kaydeder.

Olay Kimliği 22: DNSEvent (DNS sorgusu)

Bu olay, bir işlem bir DNS sorgusu yürütürken, sonucun başarılı veya başarısız olmasına, önbelleğe alınıp alınmadığına bakılmaksızın oluşturulur. Bu olayın telemetrisi Windows 8.1 için eklendiğinden Windows 7 ve önceki sürümlerde kullanılamaz.

Olay Kimliği 23: FileDelete (Dosya Silme arşivlenmiş)

Bir dosya silindi. Olayın günlüğe kaydedilmesine ek olarak, silinen dosya içinde de kaydedilir ArchiveDirectory (varsayılan olarak).C:\Sysmon Normal çalışma koşulları altında bu dizin makul olmayan bir boyuta çıkabilir. Benzer davranışlar için ancak silinen dosyaları kaydetmeden olay kimliği 26: FileDeleteDetected konusuna bakın.

Olay Kimliği 24: PanoDeğişkeni (Panodaki yeni içerik)

Bu olay, sistem panosu içeriği değiştiğinde oluşturulur.

Olay Kimliği 25: ProcessTampering (İşlem görüntüsü değişikliği)

Bu olay, "içi boş" veya "herpaderp" gibi işlem gizleme teknikleri algılandığında oluşturulur.

Olay Kimliği 26: FileDelete Algılandı (Dosya Silme günlüğe kaydedildi)

Bir dosya silindi.

Olay Kimliği 27: FileBlockExecutable

Bu olay Sysmon yürütülebilir dosyaların oluşturulmasını algıladığında ve engellediğinde oluşturulur.

Olay Kimliği 28: FileBlockShredding

Sysmon , SDelete gibi araçlardan dosya parçalama işlemini algıladığında ve engellediğinde bu olay oluşturulur.

Olay Kimliği 255: Hata

Bu olay Sysmon içinde bir hata oluştuğunda oluşturulur. Sistem ağır yük altındaysa ve belirli görevler gerçekleştirilemiyorsa veya Sysmon hizmetinde bir hata mevcutsa ya da belirli güvenlik ve bütünlük koşulları karşılanmasa bile bu durum oluşabilir. Sysinternals forumunda veya Twitter (@markrussinovich) üzerinden hataları bildirebilirsiniz.

Yapılandırma dosyaları

Yapılandırma dosyaları -i (yükleme) veya -c (yükleme) yapılandırma anahtarlarından sonra belirtilebilir. Önceden ayarlanmış bir yapılandırma dağıtmayı ve yakalanan olayları filtrelemeyi kolaylaştırır.

Basit bir yapılandırma xml dosyası şöyle görünür:

<Sysmon schemaversion="4.82">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    <!-- Do not log process termination -->
    <ProcessTerminate onmatch="include" />
    <!-- Log network connection if the destination port equal 443 -->
    <!-- or 80, and process isn't InternetExplorer -->
    <NetworkConnect onmatch="include">
      <DestinationPort>443</DestinationPort>
      <DestinationPort>80</DestinationPort>
    </NetworkConnect>
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">iexplore.exe</Image>
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

Yapılandırma dosyası Sysmon etiketinde bir schemaversion özniteliği içerir. Bu sürüm Sysmon ikili sürümünden bağımsızdır ve eski yapılandırma dosyalarının ayrıştırılmasına izin verir. "-? config" komut satırını kullanarak geçerli şema sürümünü alabilirsiniz. Yapılandırma girişleri doğrudan etiketin Sysmon altında, filtreler ise etiketin EventFiltering altındadır.

Yapılandırma Girdileri

Yapılandırma girişleri komut satırı anahtarlarına benzer ve aşağıdakileri içerir

Yapılandırma girdileri şunları içerir:

Giriş Değer Açıklama
ArchiveDirectory Dize Silmede kopyalama dosyalarının taşındığı birim köklerinde yer alan dizinlerin adı. Dizin bir Sistem ACL'siyle korunur (kullanarak psexec -sid cmddizine erişmek için Sysinternals'ten PsExec kullanabilirsiniz). Varsayılan: Sysmon
CheckRevocation Boole İmza iptal denetimlerini denetler. Varsayılan: True
CopyOnDeletePE Boole Silinen yürütülebilir görüntü dosyalarını korur. Varsayılan: False
CopyOnDeleteSIDs Dizeler Dosya silmelerinin korunacağı hesap SID'lerinin virgülle ayrılmış listesi.
CopyOnDeleteExtensions Dizeler Silmede korunan dosyalar için uzantılar.
CopyOnDeleteProcesses Dizeler Dosya silme işlemlerinin korunacağı işlem adları.
DnsLookup Boole Geriye doğru DNS arama işlemini denetler. Varsayılan: True
Sürücüadı Dize Sürücü ve hizmet görüntüleri için belirtimli ad kullanır.
HashAlgorithms Dizeler Karma için uygulanacak karma algoritmalar. Desteklenen algoritmalar MD5, SHA1, SHA256, IMPHASH ve * (tümü) içerir. Varsayılan: None

Komut satırı anahtarları, Sysmon kullanım çıkışında açıklanan yapılandırma girişlerine sahiptir. Parametreler etikete göre isteğe bağlıdır. Komut satırı anahtarı bir olayı da etkinleştirirse, filtre etiketine rağmen yapılandırılması gerekir. Sysmon'un olay etiketlerinin -s yanı sıra her olay için alan adları ve türleri de dahil olmak üzere tam yapılandırma şemasını yazdırması için anahtarı belirtebilirsiniz. Örneğin, olay türünün şeması RawAccessRead şöyledir:

<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">  
  <data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="ProcessGuid" inType="win:GUID"/>  
  <data name="ProcessId" inType="win:UInt32" outType="win:PID"/>  
  <data name="Image" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="Device" inType="win:UnicodeString" outType="xs:string"/>  
</event>  

Olay filtreleme girdileri

Olay filtreleme, oluşturulan olayları filtrelemenizi sağlar. Çoğu durumda olaylar gürültülü olabilir ve her şeyi toplamak mümkün değildir. Örneğin, yalnızca belirli bir işlem için ağ bağlantıları ilginizi çekebilir, ancak bunların tümünü ilgilendirmeyebilirsiniz. Konak üzerindeki çıkışı filtreleyerek toplayacak verileri azaltabilirsiniz.

Her olayın bir yapılandırma dosyasındaki EventFiltering düğümü altında kendi filtre etiketi vardır:

ID Etiket Olay
1 İşlemOluştur oluşturma işlemini işleme
2 FileCreateTime Dosya oluşturma zamanı
3 Ağ Bağlantısı Ağ bağlantısı algılandı
4 yok Sysmon hizmet durumu değişikliği (filtrelenemez)
5 ProcessTerminate İşlem sonlandırıldı
6 DriverLoad Sürücü Yüklendi
7 ImageLoad Resim yüklendi
8 CreateRemoteThread CreateRemoteThread algılandı
9 RawAccessRead RawAccessRead algılandı
10 ProcessAccess İşleme erişildi
11 DosyaOluştur Dosya oluşturuldu
12 RegistryEvent Kayıt defteri nesnesi eklendi veya silindi
13 RegistryEvent Kayıt defteri değer kümesi
14 RegistryEvent Kayıt defteri nesnesi yeniden adlandırıldı
15 FileCreateStreamHash Dosya akışı oluşturuldu
16 yok Sysmon yapılandırma değişikliği (filtrelenemez)
17 PipeEvent Oluşturulan adlandırılmış kanal
18 PipeEvent Adlandırılmış kanal bağlı
19 WmiEvent WMI filtresi
20 WmiEvent WMI tüketicisi
21 WmiEvent WMI tüketici filtresi
22 DNSQuery DNS sorgusu
23 FileDelete Arşivlenen Dosya Silme
24 PanoDeğişkeni Panodaki yeni içerik
25 ProcessTampering görüntü değişikliğini işleme
26 FileDeleteDetected Dosya Silme günlüğe kaydedildi
27 FileBlockExecutable Dosya Bloğu Yürütülebilir Dosyası
28 FileBlockShredding Dosya Bloğu Parçalama

Bu etiketleri olay görüntüleyicisinde görev adında da bulabilirsiniz.

Olaylar onmatch eşleştirilirse filtre uygulanır. Filtre etiketinin onmatch özniteliğiyle değiştirilebilir. değer ise "include", yalnızca eşleşen olayların dahil olduğu anlamına gelir. olarak ayarlanırsa "exclude", bir kuralın eşleşmesi dışında olay eklenir. Dışlama eşleşmelerinin öncelikli olduğu her olay kimliği için hem bir ekleme filtre kümesi hem de bir dışlama filtre kümesi belirtebilirsiniz.

Her filtre sıfır veya daha fazla kural içerebilir. Filtre etiketinin altındaki her etiket, olaydan bir alan adıdır. Aynı alan adı için bir koşul belirten kurallar OR koşulları gibi davranır ve farklı alan adı belirten kurallar AND koşulları olarak davranır. Alan kuralları, bir değerle eşleştirmek için koşulları da kullanabilir. Koşullar aşağıdaki gibidir (tümü büyük/küçük harfe duyarsızdır):

Condition Açıklama
% Varsayılan, değerler eşittir
herhangi biri Alan, sınırlandırılmış değerlerden biridir ;
değil Değerler farklıdır
Içerir Alanı bu değeri içerir
herhangi birini içerir Alanı sınırlandırılmış değerlerden herhangi birini ; içerir
tümünü içerir Alanı tüm ; sınırlandırılmış değerleri içerir
Hariç Alan bu değeri içermiyor
herhangi birini dışlar Alanı sınırlandırılmış değerlerden birini veya daha fazlasını ; içermiyor
tümünü dışlar Alan, sınırlandırılmış değerlerden ; hiçbirini içermiyor
başlangıç Alan bu değerle başlar
ile bitir Alan bu değerle biter
ile başlama Alan bu değerle başlamıyor
ile bitmiyor Alan bu değerle bitmiyor
küçüktür Sözcük temelli karşılaştırma sıfırdan küçük
daha fazla Sözcük temelli karşılaştırma sıfırdan fazla
Görüntü Bir görüntü yolunu eşleştirin (tam yol veya yalnızca resim adı). Örneğin: lsass.exe eşleşecek c:\windows\system32\lsass.exe

Öznitelik olarak belirterek farklı bir koşul kullanabilirsiniz. Bu, ağ etkinliğini yolunda iexplore.exe olan işlemlerden dışlar:

<NetworkConnect onmatch="exclude">
  <Image condition="contains">iexplore.exe</Image>
</NetworkConnect>

Sysmon'un hangi kuralın eşleşerek günlüğe kaydedilen bir olaya neden olduğunu bildirmesini sağlamak için kurallara ad ekleyin:

<NetworkConnect onmatch="exclude">
  <Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>

Aynı etiket için hem dahil etme hem de dışlama kurallarını kullanabilirsiniz; burada dışlama kuralları ekleme kurallarını geçersiz kılar. Bir kural içinde, filtre koşullarının OR davranışı vardır.

Daha önce gösterilen örnek yapılandırmada ağ filtresi, adında olanlar iexplore.exe dışında tüm işlemler tarafından 80 ve 443 numaralı bağlantı noktalarına etkinlik yakalamak için hem dahil etme hem de dışlama kuralı kullanır.

Ayrıca, bir veya daha fazla olayın kural birleştirme türünün AND veya OR olarak açıkça ayarlanmasına izin veren bir kural grubu kullanarak kuralların birleştirilma biçimini geçersiz kılmak da mümkündür.

Aşağıdaki örnekte bu kullanım gösterilmektedir. İlk kural grubunda, yalnızca komutunun komut satırı bağımsız değişkeniyle 100yürütildiğinde bir işlem oluşturma olayı oluşturulurtimeout.exe, ancak ve timeout.exesonlandırması için ping.exe bir işlem sonlandırma olayı oluşturulur.

  <EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>

Sysmon İndir(4,6 MB)

Çalıştırma tarihi:

  • İstemci: Windows 8.1 ve üzeri.
  • Sunucu: Windows Server 2012 ve üzeri.