Sysmon 概述

内置系统监视器 (Sysmon) 是 Windows 11 和 Windows Server 2025 上的可选 Windows 功能,启用此功能后,在系统重新启动后仍保持驻留状态,以监视系统活动并将其记录到 Windows 事件日志。 它提供有关进程创建、网络连接和文件创建时间更改事件的详细信息。 通过 Windows 事件集合SIEM 代理收集其事件,可以更好地了解系统正在执行的作。 这些事件有助于检测恶意或异常行为,并揭示入侵者或恶意软件如何在环境中移动和作。 

Sysmon 不会分析它生成的事件,也不会尝试向攻击者隐瞒其存在。 

Sysmon 功能

Sysmon 包括以下功能:

  • 使用当前进程和父进程的完整命令行记录进程创建。 

  • 使用 SHA1 (默认) 、MD5、SHA256 或 IMPHASH 记录进程映像文件的哈希。 

  • 可以同时使用多个哈希。 

  • 在进程创建事件中包含进程 GUID,以便即使 Windows 重用进程 ID,也允许关联事件。 

  • 在每个事件中包含会话 GUID,以允许关联同一登录会话上的事件。 

  • 使用其签名和哈希记录驱动程序或 DLL 的加载。 

  • 使用原始读取访问权限打开磁盘或卷时的日志。 

  • (可选)记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名称。 

  • 检测文件创建时间的更改,以了解文件的实际创建时间。 修改文件创建时间戳是恶意软件通常用于掩盖其轨迹的技术。 

  • 如果注册表中发生更改,则自动重新加载配置。 

  • 用于动态包含或排除某些事件的规则筛选。 

  • 在启动过程的早期生成事件,以捕获由复杂的内核模式恶意软件所创建的活动。 

这些功能为安全团队提供了比单独使用默认审核日志更好的上下文,并改进了对可疑行为的检测,例如“非本地执行”、“横向移动”和“恶意活动”。 

用途

一些常见用法示例包含用于安装和卸载 Sysmon 以及检查和修改其配置的简单命令行选项:

安装:

sysmon -i [<configfile>]

更新配置:

sysmon -c [<configfile>]

安装事件清单:

sysmon -m

打印架构:

sysmon -s

卸载:

sysmon -u [force]

屏幕截图

以下屏幕截图显示了内置 Windows 事件查看器中的典型 Sysmon 遥测:

说明在事件查看器中捕获的 Sysmon 事件。

以下屏幕截图显示了确认遥测配置时的 Sysmon 输出:

演示 powershell 中的输出,其中显示了 Sysmon 配置。

以下屏幕截图展示了 Sysmon 主动存储遥测事件:

演示在 PowerShell 中查询 Sysmon 事件并观察事件的输出。

本地化事件

已本地化写入 Windows 事件日志的内置 Sysmon 事件,提供与其他 Windows 系统事件的一致体验,并与设备上配置的语言保持一致。 虽然呈现的事件消息 (事件查看器) 等工具中显示的显示文本已本地化,但基础 XML 事件数据不会本地化,并且在所有语言中保持一致。 此 XML 表示形式可用于跨环境进行可靠的事件收集、聚合和分析。

此行为不同于独立 Sysmon,在将内置 Sysmon 与日志收集管道、SIEM 解决方案或自定义事件处理逻辑集成时,请务必考虑此行为。

注意

如果当前使用非 XML 表示形式(例如呈现的消息文本) ) (收集或处理 Sysmon 事件,则可能需要更新事件处理脚本以考虑非英语系统上的本地化。

服务和更新

内置 Sysmon 的增强和非安全改进通过标准 Windows 质量更新过程提供,更改首先在可选的 Windows 预览版更新中提供,然后在下一个定期计划的 Windows 更新中广泛部署。 有关详细信息,请参阅 Windows 质量更新概述

在这些功能更新期间:

  • 无论当前是否启用 Sysmon,内置 Sysmon 二进制文件均会更新。 

  • 如果启用了内置 Sysmon,则无缝转换到更新的二进制文件,保留现有配置,无需重启系统。 

  • 如果未启用内置 Sysmon,则更新将替换二进制文件,但 Sysmon 将保持禁用状态。

内置 Sysmon 的功能更新不会影响设备上的独立 Sysmon 安装。 不支持内置 Sysmon 与独立 Sysmon 之间的共存。 

测试和验证

在采用新的内置 Sysmon 功能时,组织应遵循标准的 Windows 更新测试做法:

  • 评估测试或试点环境中的可选预览更新。 

  • 在更新后查看 Sysmon 事件输出和行为。 

  • 在广泛部署之前根据需要调整 Sysmon 配置。 

此方法允许团队验证更改,同时保持其现有 Windows 更新管理流程的一致性。

质量更新

如果识别到影响内置 Sysmon 的关键安全问题,修复程序将作为每月安全更新版本 (周二/B 版本) 的一部分提供。

安全更新广泛部署,不需要选择加入预览版更新。

无论是否启用了内置 Sysmon,汇报都适用,确保 Sysmon 组件保持受保护状态。

与 Sysmon & 其他安全产品共存

内置 Sysmon 设计为作为本机 Windows 功能运行,不支持与独立 Sysmon 共存。

  • 无法在同一设备上同时启用独立 Sysmon 和内置 Sysmon。

  • 在启用内置 Sysmon 之前,必须卸载独立 Sysmon。

  • 提供或更新内置 Sysmon 的 Windows 更新不会影响独立的 Sysmon 安装。 如果安装了独立 Sysmon,它将保持不变,并且内置 Sysmon 将保持禁用状态。

Sysmon 与其他安全产品兼容,例如:

  • Windows 事件转发和 Windows 事件集合,它们集中聚合 Sysmon 日志以供分析。

  • Microsoft Defender for Endpoint和其他使用 Sysmon 事件的 EDR 平台来增强检测逻辑。

  • 用于将 Sysmon 遥测与其他日志源关联的 SIEM 解决方案。

Sysmon 的筛选和配置功能使管理员能够定制事件捕获,使数据量保持可管理性,最大限度地减少与其他代理的重叠,同时最大程度地提高信号质量。 它不会与防病毒或其他监视工具冲突,因为它提供原始遥测数据,而不是主动防护。

  • Last updated on