Sysmon v15.15
ve ölçütü Mark RussinovichThomas Garnier
Yayımlanma Tarihi: 23 Temmuz 2024
Sysmon'ı indirin (4,6 MB)
Linux için Sysmon'ı indirin (GitHub)
Giriş
Sistem İzleyicisi (Sysmon), bir sisteme yüklendikten sonra sistem etkinliğini izlemek ve Windows olay günlüğüne kaydetmek için sistem yeniden başlatmalarında yerleşik olarak kalan bir Windows sistem hizmeti ve cihaz sürücüsüdür. İşlem oluşturma işlemleri, ağ bağlantıları ve dosya oluşturma süresindeki değişiklikler hakkında ayrıntılı bilgi sağlar. Windows Olay Koleksiyonu veya SIEM aracılarını kullanarak oluşturduğu olayları toplayarak ve daha sonra bunları analiz ederek kötü amaçlı veya anormal etkinlikleri tanımlayabilir ve davetsiz misafirlerin ve kötü amaçlı yazılımların ağınızda nasıl çalıştığını anlayabilirsiniz. Hizmet korumalı bir işlem olarak çalışır ve bu nedenle çok çeşitli kullanıcı modu etkileşimlerine izin vermemektedir.
Sysmon'un oluşturduğu olayların analizini sağlamadığını ve kendisini saldırganlardan gizlemeye çalışmadığını unutmayın.
Sysmon Özelliklerine Genel Bakış
Sysmon aşağıdaki özellikleri içerir:
- Hem geçerli hem de üst işlemler için tam komut satırıyla işlem oluşturmayı günlüğe kaydeder.
- SHA1 (varsayılan), MD5, SHA256 veya IMPHASH kullanarak işlem görüntüsü dosyalarının karması kaydeder.
- Aynı anda birden çok karma kullanılabilir.
- Windows işlem kimliklerini yeniden kullansa bile olayların bağıntısını sağlamak için işlem oluşturma olaylarına bir işlem GUID'i ekler.
- Aynı oturum açma oturumundaki olayların bağıntısına izin vermek için her olaya bir oturum GUID'i ekler.
- Sürücülerin veya DLL'lerin yüklenmesini imzalarıyla ve karmalarıyla günlüğe kaydeder.
- Günlükler, disklere ve birimlere ham okuma erişimi için açılır.
- İsteğe bağlı olarak, her bağlantının kaynak işlemi, IP adresleri, bağlantı noktası numaraları, ana bilgisayar adları ve bağlantı noktası adları dahil olmak üzere ağ bağlantılarını günlüğe kaydeder.
- Bir dosyanın gerçekten ne zaman oluşturulduğunu anlamak için dosya oluşturma süresindeki değişiklikleri algılar. Dosya oluşturma zaman damgalarının değiştirilmesi, kötü amaçlı yazılım tarafından izlerini kapatmak için yaygın olarak kullanılan bir tekniktir.
- Kayıt defterinde değiştirilirse yapılandırmayı otomatik olarak yeniden yükleyin.
- Belirli olayları dinamik olarak dahil etmek veya hariç tutmak için kural filtreleme.
- Gelişmiş çekirdek modu kötü amaçlı yazılımları tarafından yapılan etkinlikleri yakalamak için önyükleme işleminin başlarından olaylar oluşturur.
Ekran görüntüleri
Kullanım
Sysmon'u yüklemek ve kaldırmak ve yapılandırmasını denetlemek ve değiştirmek için basit komut satırı seçeneklerini içeren yaygın kullanım:
Yüklemek: sysmon64 -i [<configfile>]
Yapılandırmayı güncelleştir: sysmon64 -c [<configfile>]
Olay bildirimini yükleme: sysmon64 -m
Şemayı yazdır: sysmon64 -s
Kaldır: sysmon64 -u [force]
Parametre | Açıklama |
---|---|
-i | Hizmeti ve sürücüyü yükleyin. İsteğe bağlı olarak bir yapılandırma dosyası alın. |
-c | Yüklü bir Sysmon sürücüsünün yapılandırmasını güncelleştirin veya başka bir bağımsız değişken sağlanmamışsa geçerli yapılandırmayı döküm edin. İsteğe bağlı olarak bir yapılandırma dosyası alır. |
-m | Olay bildirimini yükleyin (hizmet yüklemesinde de örtük olarak yapılır). |
-s | Yapılandırma şeması tanımını yazdırın. |
-u | Hizmeti ve sürücüyü kaldırın. Bazı bileşenler yüklü olmasa bile kaldırma işleminin devam etme nedenlerini kullanmak -u force . |
Hizmet olayları hemen günlüğe kaydeder ve sürücü önyüklemenin başlarından başlayarak hizmetin olay günlüğüne yazacağı etkinliği yakalamak için önyükleme başlatma sürücüsü olarak yüklenir.
Vista ve üzeri sürümlerde olaylar içinde Applications and Services Logs/Microsoft/Windows/Sysmon/Operational
depolanır.
Eski sistemlerde olaylar olay günlüğüne yazılır System
.
Yapılandırma dosyaları hakkında daha fazla bilgiye ihtiyacınız varsa komutunu kullanın -? config
.
Yüklemede EULA'yı otomatik olarak kabul etmek için belirtin -accepteula
, aksi takdirde etkileşimli olarak kabul etmek isteyip istemediğiniz sorulur.
Yükleme veya kaldırma işlemi yeniden başlatma gerektirmez.
Örnekler
Varsayılan ayarlarla yükleme (SHA1 ile karma olan ve ağ izlemesi olmayan işlem görüntüleri)
sysmon -accepteula -i
Sysmon'u bir yapılandırma dosyasıyla yükleme (aşağıda açıklandığı gibi)
sysmon -accepteula -i c:\windows\config.xml
uygulamasını kaldırma
sysmon -u
Geçerli yapılandırmanın dökümünü al
sysmon -c
Etkin bir Sysmon'ı yapılandırma dosyasıyla yeniden yapılandırma (aşağıda açıklandığı gibi)
sysmon -c c:\windows\config.xml
Yapılandırmayı varsayılan ayarlara değiştirme
sysmon -c --
Yapılandırma şemasını gösterme
sysmon -s
Ekinlikler
Vista ve üzeri sürümlerde olaylar içinde Applications and Services Logs/Microsoft/Windows/Sysmon/Operational
depolanır ve eski sistemlerde olaylar olay günlüğüne yazılır System
.
Olay zaman damgaları UTC standart saatindedir.
Aşağıda Sysmon'un oluşturduğu her olay türüne örnekler verilmiştir.
Olay Kimliği 1: İşlem oluşturma
İşlem oluşturma olayı, yeni oluşturulan bir işlem hakkında genişletilmiş bilgi sağlar. Tam komut satırı, işlemin yürütülmesiyle ilgili bağlam sağlar. Alan ProcessGUID
, olay bağıntısını kolaylaştırmak için etki alanı genelinde bu işlem için benzersiz bir değerdir. Karma, alandaki algoritmalarla HashType
dosyanın tam karmasıdır.
Olay Kimliği 2: İşlem, dosya oluşturma zamanını değiştirdi
Dosya oluşturma zamanı, bir işlem tarafından açıkça değiştirildiğinde dosya oluşturma zamanı olayı kaydedilir. Bu olay, bir dosyanın gerçek oluşturma zamanını izlemeye yardımcı olur. Saldırganlar, arka kapı oluşturma süresini değiştirerek işletim sistemiyle yüklenmiş gibi görünmesini sağlayabilir. Birçok işlemin dosyanın oluşturma süresini yasal olarak değiştirdiğini unutmayın; kötü amaçlı etkinliği belirtmesi şart değildir.
Olay Kimliği 3: Ağ bağlantısı
Ağ bağlantısı olayı, makinedeki TCP/UDP bağlantılarını günlüğe kaydeder. Varsayılan olarak devre dışıdır. Her bağlantı ve ProcessGuid
alanları aracılığıyla ProcessId
bir işleme bağlanır. Olay ayrıca kaynak ve hedef ana bilgisayar adlarının IP adreslerini, bağlantı noktası numaralarını ve IPv6 durumunu içerir.
Olay Kimliği 4: Sysmon hizmet durumu değiştirildi
Hizmet durumu değişiklik olayı Sysmon hizmetinin durumunu bildirir (başlatıldı veya durduruldu).
Olay Kimliği 5: İşlem sonlandırıldı
İşlem sonlandırıldığında olay sonlandırılır. İşlemin UtcTime
ve ProcessGuid
ProcessId
değerlerini sağlar.
Olay Kimliği 6: Sürücü yüklendi
Sürücü tarafından yüklenen olaylar, sisteme yüklenen bir sürücü hakkında bilgi sağlar. Yapılandırılan karmalar ve imza bilgileri sağlanır. İmza, performans nedeniyle zaman uyumsuz olarak oluşturulur ve dosyanın yüklendikten sonra kaldırılıp kaldırılmadığını gösterir.
Olay Kimliği 7: Görüntü yüklendi
Yüklenen görüntü, bir modül belirli bir işlemde yüklendiğinde günlüğe kaydeder. Bu olay varsayılan olarak devre dışıdır ve "–l
" seçeneğiyle yapılandırılması gerekir. Modülün yüklendiği işlemi, karmaları ve imza bilgilerini gösterir. İmza, performans nedeniyle zaman uyumsuz olarak oluşturulur ve dosyanın yüklendikten sonra kaldırılıp kaldırılmadığını gösterir. Tüm görüntü yükleme olaylarının izlenmesi önemli miktarda günlük oluşturacağı için bu olay dikkatli bir şekilde yapılandırılmalıdır.
Olay Kimliği 8: CreateRemoteThread
Olay, CreateRemoteThread
bir işlemin başka bir işlemde iş parçacığı oluşturduğunu algılar. Bu teknik, kötü amaçlı yazılım tarafından kod eklemek ve diğer işlemlerde gizlemek için kullanılır. Olay, kaynak ve hedef işlemi gösterir. Yeni iş parçacığında çalıştırılacak kod hakkında bilgi verir: StartAddress
ve StartModule
StartFunction
. ve StartFunction
alanlarının StartModule
çıkarıldığını, başlangıç adresi yüklü modüllerin veya bilinen dışarı aktarılan işlevlerin dışındaysa boş olabileceklerini unutmayın.
Olay Kimliği 9: RawAccessRead
Olay, RawAccessRead
bir işlemin açıklamayı kullanarak sürücüden okuma işlemleri yürüttüğü zamanları \\.\
algılar. Bu teknik genellikle kötü amaçlı yazılım tarafından okuma için kilitlenen dosyaların veri sızdırması ve dosya erişimi denetim araçlarının önlenmesi için kullanılır. Olay, kaynak işlemi ve hedef cihazı gösterir.
Olay Kimliği 10: ProcessAccess
Bir işlem başka bir işlem açtığında işlem tarafından erişilen olay, genellikle bilgi sorguları veya hedef işlemin adres alanını okuyup yazıp yazmanın takip ettiği bir işlemdir. Bu, Karma Geçiş saldırılarında kullanılmak üzere kimlik bilgilerini çalmak için Yerel Güvenlik Yetkilisi (Lsass.exe) gibi işlemlerin bellek içeriğini okuyan korsanlık araçlarının algılanmasına olanak tanır. Bu özelliğin etkinleştirilmesi, durumlarını sorgulamak için işlemleri tekrar tekrar açan tanılama yardımcı programları varsa önemli miktarda günlüğe kaydetme oluşturabilir, bu nedenle genellikle yalnızca beklenen erişimleri kaldıran filtrelerle yapılması gerekir.
Olay Kimliği 11: DosyaOluştur
Dosya oluşturma işlemleri, bir dosya oluşturulduğunda veya üzerine yazıldığında günlüğe kaydedilir. Bu olay, Başlangıç klasörü gibi otomatik başlangıç konumlarının yanı sıra ilk bulaşma sırasında kötü amaçlı yazılımların düştüğü yaygın yerler olan geçici ve indirme dizinlerini izlemek için kullanışlıdır.
Olay Kimliği 12: RegistryEvent (Nesne oluşturma ve silme)
Kayıt defteri anahtarı ve değeri oluşturma ve silme işlemleri bu olay türüyle eşlenir. Bu, Kayıt Defteri otomatik başlangıç konumlarında yapılan değişiklikleri veya belirli kötü amaçlı yazılım kayıt defteri değişikliklerini izlemek için yararlı olabilir.
Sysmon, aşağıdaki eşlemelerle birlikte Kayıt Defteri kök anahtar adlarının kısaltılmış sürümlerini kullanır:
Anahtar adı | Kısaltma |
---|---|
HKEY_LOCAL_MACHINE |
HKLM |
HKEY_USERS |
HKU |
HKEY_LOCAL_MACHINE\System\ControlSet00x |
HKLM\System\CurrentControlSet |
HKEY_LOCAL_MACHINE\Classes |
HKCR |
Olay Kimliği 13: RegistryEvent (Değer Kümesi)
Bu Kayıt Defteri olay türü, Kayıt defteri değer değişikliklerini tanımlar. Olay, ve QWORD
türündeki DWORD
Kayıt Defteri değerleri için yazılan değeri kaydeder.
Olay Kimliği 14: RegistryEvent (Anahtar ve Değer Yeniden Adlandırma)
Kayıt defteri anahtarı ve değer yeniden adlandırma işlemleri bu olay türüyle eşlenip yeniden adlandırılan anahtarın veya değerin yeni adını kaydeder.
Olay Kimliği 15: FileCreateStreamHash
Bu olay, adlandırılmış bir dosya akışı oluşturulduğunda günlüğe kaydeder ve akışın atandığı dosyanın içeriğinin karması (adsız akış) ve adlandırılmış akışın içeriğini günlüğe kaydeden olaylar oluşturur. Yürütülebilir dosyalarını veya yapılandırma ayarlarını tarayıcı indirmeleri aracılığıyla bırakan kötü amaçlı yazılım varyantları vardır ve bu olay, tarayıcının bir Zone.Identifier
"web işareti" akışı eklemesine bağlı olarak bunu yakalamayı hedeflemektedir.
Olay Kimliği 16: ServiceConfigurationChange
Bu olay Sysmon yapılandırmasındaki değişiklikleri günlüğe kaydeder. Örneğin, filtreleme kuralları güncelleştirildiğinde.
Olay Kimliği 17: PipeEvent (Kanal Oluşturuldu)
Bu olay, adlandırılmış bir kanal oluşturulduğunda oluşturulur. Kötü amaçlı yazılım genellikle işlemler arası iletişim için adlandırılmış kanallar kullanır.
Olay Kimliği 18: PipeEvent (Boru Bağlandı)
Bu olay, bir istemci ile sunucu arasında adlandırılmış kanal bağlantısı yapıldığında günlüğe kaydeder.
Olay Kimliği 19: WmiEvent (WmiEventFilter etkinliği algılandı)
Kötü amaçlı yazılım tarafından yürütülmek üzere kullanılan bir yöntem olan wmi olay filtresi kaydedildiğinde, bu olay WMI ad alanını, filtre adını ve filtre ifadesini günlüğe kaydeder.
Olay Kimliği 20: WmiEvent (WmiEventConsumer etkinliği algılandı)
Bu olay WMI tüketicilerinin kaydını günlüğe kaydeder, tüketici adını, günlüğünü ve hedefini kaydeder.
Olay Kimliği 21: WmiEvent (WmiEventConsumerToFilter etkinliği algılandı)
Bir tüketici bir filtreye bağlandığında, bu olay tüketici adını ve filtre yolunu günlüğe kaydeder.
Olay Kimliği 22: DNSEvent (DNS sorgusu)
Bu olay, bir işlem bir DNS sorgusu yürütürken, sonucun başarılı veya başarısız olmasına, önbelleğe alınıp alınmadığına bakılmaksızın oluşturulur. Bu olayın telemetrisi Windows 8.1 için eklendiğinden Windows 7 ve önceki sürümlerde kullanılamaz.
Olay Kimliği 23: FileDelete (Dosya Silme arşivlenmiş)
Bir dosya silindi. Ayrıca, olayı günlüğe kaydetmeye ek olarak, silinen dosya da içinde ArchiveDirectory
(varsayılan olarak) C:\Sysmon
kaydedilir. Normal çalışma koşullarında bu dizin makul olmayan bir boyuta çıkabilir. Benzer davranışlar için ancak silinen dosyaları kaydetmeden olay kimliği 26: FileDeleteDetected
'ya bakın.
Olay Kimliği 24: PanoDeğişkeni (Panodaki yeni içerik)
Bu olay, sistem panosu içeriği değiştiğinde oluşturulur.
Olay Kimliği 25: ProcessTampering (İşlem görüntüsü değişikliği)
Bu olay, "içi boş" veya "herpaderp" gibi işlem gizleme teknikleri algılandığında oluşturulur.
Olay Kimliği 26: FileDeleteDetected (Dosya Silme günlüğe kaydedildi)
Bir dosya silindi.
Olay Kimliği 27: FileBlockExecutable
Sysmon yürütülebilir dosyaların (PE biçimi) oluşturulmasını algıladığında ve engellediğinde bu olay oluşturulur.
Olay Kimliği 28: FileBlockShredding
Sysmon, SDelete gibi araçlardan dosya parçalama işlemini algıladığında ve engellediğinde bu olay oluşturulur.
Olay Kimliği 29: FileExecutable Algılandı
Bu olay, Sysmon yeni bir yürütülebilir dosya (PE biçimi) oluşturulduğunu algıladığında oluşturulur.
Olay Kimliği 255: Hata
Bu olay Sysmon içinde bir hata oluştuğunda oluşturulur. Sistem ağır yük altındaysa ve belirli görevler gerçekleştirilemiyorsa veya Sysmon hizmetinde bir hata mevcutsa ya da belirli güvenlik ve bütünlük koşulları karşılanmasa bile oluşabilir. Sysinternals forumu veya Twitter (@markrussinovich) üzerinden hataları bildirebilirsiniz.
Yapılandırma dosyaları
Yapılandırma dosyaları -i (yükleme) veya -c (yükleme) yapılandırma anahtarlarından sonra belirtilebilir. Önceden ayarlanmış bir yapılandırma dağıtmayı ve yakalanan olayları filtrelemeyi kolaylaştırır.
Basit bir yapılandırma xml dosyası şöyle görünür:
<Sysmon schemaversion="4.82">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<!-- Do not log process termination -->
<ProcessTerminate onmatch="include" />
<!-- Log network connection if the destination port equal 443 -->
<!-- or 80, and process isn't InternetExplorer -->
<NetworkConnect onmatch="include">
<DestinationPort>443</DestinationPort>
<DestinationPort>80</DestinationPort>
</NetworkConnect>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplore.exe</Image>
</NetworkConnect>
</EventFiltering>
</Sysmon>
Yapılandırma dosyası Sysmon etiketinde schemaversion özniteliği içerir. Bu sürüm Sysmon ikili sürümünden bağımsızdır ve eski yapılandırma dosyalarının ayrıştırılmasına izin verir. "-? config
" komut satırını kullanarak geçerli şema sürümünü alabilirsiniz. Yapılandırma girdileri doğrudan etiketin Sysmon
altında, filtreler ise etiketin EventFiltering
altındadır.
Yapılandırma Girdileri
Yapılandırma girişleri komut satırı anahtarlarına benzer ve aşağıdakileri içerir
Yapılandırma girdileri şunları içerir:
Giriş | Value | Açıklama |
---|---|---|
ArchiveDirectory | String | Silme üzerine kopyalama dosyalarının taşındığı birim köklerinde yer alan dizinlerin adı. Dizin bir Sistem ACL'siyle korunur (kullanarak dizine psexec -sid cmd erişmek için Sysinternals'tan PsExec kullanabilirsiniz). Varsayılan: Sysmon |
CheckRevocation | Boolean | İmza iptal denetimlerini denetler. Varsayılan: True |
CopyOnDeletePE | Boolean | Silinen yürütülebilir görüntü dosyalarını korur. Varsayılan: False |
CopyOnDeleteSIDs | Dizeler | Dosya silmelerin korunacağı hesap SID'lerinin virgülle ayrılmış listesi. |
CopyOnDeleteExtensions | Dizeler | Silme işlemiyle korunan dosyalar için uzantılar. |
CopyOnDeleteProcesses | Dizeler | Dosya silme işlemlerinin korunacağı işlem adları. |
DnsLookup | Boolean | Ters DNS arama işlemini denetler. Varsayılan: True |
DriverName | String | Sürücü ve hizmet görüntüleri için belirtilen adı kullanır. |
HashAlgorithms | Dizeler | Karma için uygulanacak karma algoritmalar. Desteklenen algoritmalar arasında MD5, SHA1, SHA256, IMPHASH ve * (tümü) bulunur. Varsayılan: None |
Komut satırı anahtarları, Sysmon kullanım çıkışında açıklanan yapılandırma girişlerine sahiptir. Parametreler etikete göre isteğe bağlıdır. Komut satırı anahtarı bir olayı da etkinleştirirse, filtre etiketi olsa da yapılandırılması gerekir. Sysmon'un olay etiketlerinin yanı sıra her olay için alan adları ve türleri de dahil olmak üzere tam yapılandırma şemasını yazdırması için anahtarı belirtebilirsiniz -s
. Örneğin, olay türünün şeması RawAccessRead
şöyledir:
<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">
<data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>
<data name="ProcessGuid" inType="win:GUID"/>
<data name="ProcessId" inType="win:UInt32" outType="win:PID"/>
<data name="Image" inType="win:UnicodeString" outType="xs:string"/>
<data name="Device" inType="win:UnicodeString" outType="xs:string"/>
</event>
Olay filtreleme girdileri
Olay filtreleme, oluşturulan olayları filtrelemenizi sağlar. Çoğu durumda olaylar gürültülü olabilir ve her şeyi toplamak mümkün değildir. Örneğin, yalnızca belirli bir işlem için ağ bağlantılarıyla ilgileniyor olabilirsiniz, ancak bunların tümü ilginizi çekmeyebilir. Konak üzerindeki çıkışı filtreleyerek toplayacak verileri azaltabilirsiniz.
Her olayın bir yapılandırma dosyasındaki EventFiltering düğümü altında kendi filtre etiketi vardır:
Kimlik | Etiket | Etkinlik |
---|---|---|
1 | İşlemOluştur | İşlem Oluşturma |
2 | FileCreateTime | Dosya oluşturma zamanı |
3 | Ağ Bağlantısı | Ağ bağlantısı algılandı |
4 | yok | Sysmon hizmet durumu değişikliği (filtrelenemez) |
5 | ProcessTerminate | İşlem sonlandırıldı |
6 | DriverLoad | Sürücü Yüklendi |
7 | ImageLoad | Yüklenen görüntü |
8 | CreateRemoteThread | CreateRemoteThread algılandı |
9 | RawAccessRead | RawAccessRead algılandı |
10 | ProcessAccess | Erişilen işlem |
11 | DosyaOluştur | Dosya oluşturuldu |
12 | RegistryEvent | Kayıt defteri nesnesi eklendi veya silindi |
13 | RegistryEvent | Kayıt defteri değer kümesi |
14 | RegistryEvent | Kayıt defteri nesnesi yeniden adlandırıldı |
15 | FileCreateStreamHash | Dosya akışı oluşturuldu |
16 | yok | Sysmon yapılandırma değişikliği (filtrelenemez) |
17 | PipeEvent | Adlandırılmış kanal oluşturuldu |
18 | PipeEvent | Bağlı adlandırılmış kanal |
19 | WmiEvent | WMI filtresi |
20 | WmiEvent | WMI tüketicisi |
21 | WmiEvent | WMI tüketici filtresi |
22 | DNSQuery | DNS sorgusu |
23 | FileDelete | Arşivlenen Dosya Silme |
24 | PanoDeğişkeni | Panodaki yeni içerik |
25 | ProcessTampering | Görüntü değişikliğini işleme |
26 | FileDelete Algılandı | Dosya Silme günlüğe kaydedildi |
27 | FileBlockExecutable | Dosya Bloğu Yürütülebilir Dosyası |
28 | FileBlockShredding | Dosya Bloğu Parçalama |
29 | FileExecutable Algılandı | Dosya Yürütülebilir Dosyası Algılandı |
Bu etiketleri olay görüntüleyicisinde görev adında da bulabilirsiniz.
Olaylar onmatch
eşleştirilirse filtre uygulanır. Filtre etiketinin onmatch
özniteliğiyle değiştirilebilir. değeri ise "include"
, yalnızca eşleşen olayların dahil olduğu anlamına gelir. olarak ayarlanırsa "exclude"
, bir kuralın eşleşmesi dışında olay eklenir. Dışlama eşleşmelerinin öncelikli olduğu her olay kimliği için hem ekleme filtre kümesi hem de dışlama filtre kümesi belirtebilirsiniz.
Her filtre sıfır veya daha fazla kural içerebilir. Filtre etiketinin altındaki her etiket, olaydan bir alan adıdır. Aynı alan adı için bir koşul belirten kurallar OR koşullarıyla, farklı alan adı belirten kurallar ise AND koşulları olarak davranır. Alan kuralları, bir değerle eşleştirmek için koşulları da kullanabilir. Koşullar aşağıdaki gibidir (tümü büyük/küçük harfe duyarsızdır):
Condition | Açıklama |
---|---|
is | Varsayılan olarak, değerler eşittir |
herhangi bir | Alan, sınırlandırılmış değerlerden biridir ; |
değil | Değerler farklıdır |
Içerir | Alanı bu değeri içerir |
herhangi bir | alanı sınırlandırılmış değerlerden herhangi birini ; içerir |
tümünü içerir | Alanı, sınırlandırılmış değerlerin ; tümünü içerir |
Hariç | Alan bu değeri içermiyor |
dışlar | Alanı sınırlandırılmış değerlerden birini veya daha fazlasını ; içermiyor |
tümünü dışlar | Alan, sınırlandırılmış değerlerden ; hiçbirini içermiyor |
ile başlayın | Alan bu değerle başlar |
ile sona er | Alan bu değerle biter |
ile başlanmaz | Alan bu değerle başlamıyor |
ile bitmiyor | Alan bu değerle bitmiyor |
küçüktür | Sözcük bilimi karşılaştırması sıfırdan küçük |
daha fazla | Sözcük temelli karşılaştırma sıfırdan fazla |
görüntü | Bir görüntü yolunu eşleştirin (tam yol veya yalnızca resim adı). Örneğin: lsass.exe eşleşecek c:\windows\system32\lsass.exe |
Öznitelik olarak belirterek farklı bir koşul kullanabilirsiniz. Bu, ağ etkinliğini yolunda iexplore.exe olan işlemlerden dışlar:
<NetworkConnect onmatch="exclude">
<Image condition="contains">iexplore.exe</Image>
</NetworkConnect>
Sysmon'un hangi kuralın eşleşerek günlüğe kaydedilen bir olayla sonuçlandığını bildirmesini sağlamak için kurallara ad ekleyin:
<NetworkConnect onmatch="exclude">
<Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>
Dışlama kurallarının dahil etme kurallarını geçersiz kıldığı aynı etiket için hem ekleme hem de dışlama kurallarını kullanabilirsiniz. Bir kural içinde, filtre koşullarının OR davranışı vardır.
Daha önce gösterilen örnek yapılandırmada ağ filtresi, adında olanlar iexplore.exe
dışında tüm işlemler tarafından 80 ve 443 numaralı bağlantı noktasına etkinliği yakalamak için hem ekleme hem de dışlama kuralı kullanır.
Ayrıca, bir veya daha fazla olayın and veya OR olarak açıkça ayarlanması için kuralın türü birleştirmesine izin veren bir kural grubu kullanarak kuralların birleştirilma biçimini geçersiz kılmak da mümkündür.
Aşağıdaki örnekte bu kullanım gösterilmektedir. İlk kural grubunda, yalnızca komut satırı bağımsız değişkeniyle 100
yürütülürken timeout.exe
bir işlem oluşturma olayı oluşturulur, ancak ve timeout.exe
sonlandırması için ping.exe
bir işlem sonlandırma olayı oluşturulur.
<EventFiltering>
<RuleGroup name="group 1" groupRelation="and">
<ProcessCreate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<CommandLine condition="contains">100</CommandLine>
</ProcessCreate>
</RuleGroup>
<RuleGroup groupRelation="or">
<ProcessTerminate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<Image condition="contains">ping.exe</Image>
</ProcessTerminate>
</RuleGroup>
<ImageLoad onmatch="include"/>
</EventFiltering>
Sysmon'ı indirin (4,6 MB)
Çalıştırma tarihi:
- İstemci: Windows 10 ve üzeri.
- Sunucu: Windows Server 2016 ve üzeri.