Sysmon 事件提供關於 Windows 裝置系統活動的詳細且低階的遙測資料。 每個事件代表一類特定行為——例如程序執行、網路通訊、檔案修改或設定變更——可用來理解軟體隨時間在系統上的運作方式。
本文說明 Sysmon 事件代表什麼、它們彼此關聯,以及如何在調查或搜尋惡意活動時對其進行概念推理。
Sysmon 事件的記錄地點
在現代版本的 Windows 中,Sysmon 事件寫入為:
Applications and Services Logs -> Microsoft -> Windows -> Sysmon -> Operational
事件時間戳記以UTC記錄。
由於 Sysmon 內建於 Windows,事件總是使用標準的 Windows 事件日誌基礎架構撰寫,並可透過 Windows 事件收集、安全資訊與事件管理 (SIEM) 代理,或雲端日誌匯入管線來收集。
Sysmon 事件代表什麼
Sysmon 事件是系統觀察到的動作的結構化記錄。 它描述如下:
事件類型 (發生了什麼)
時間 戳記 (發生)
這過程涉及哪一種
命令列、檔案路徑、網路細節 (,背後的上下文是什麼)
Sysmon 事件包括:
觀察性的,而非詮釋性的
決定性,非機率性
可組合,意指當它們相互關聯時會獲得意義
沒有任何單一事件本身就代表惡意活動。
事件作為行為建構單元
Sysmon 事件在被視為形成序列的行為訊號時最有用。
例如:
Process Create — 有東西開始了
DNS 查詢——它解決了基礎設施問題
Network Connect — 它與外界溝通
檔案建立 — 它會寫入產物
登錄檔事件 — 持續存在
理解賽蒙意味著要以鏈條和時間線思考,而非孤立事件。
核心賽事類別
Sysmon 事件可依其描述的系統行為類型在概念上進行分組。
流程生命週期與執行
這些事件描述了流程的啟動、運行與互動方式。
Process Create (Event ID 1)
記錄新建立流程的詳細資訊,包括:
完整指令列
父程序
密碼學雜湊
全球唯一的相關性流程指南
此活動對以下項目具有基礎性:
執行鏈分析
指令列檢查
威脅狩獵
程序終止 (事件 ID 5)
記錄程序何時退出。 適用於:
完成時間軸
測量執行時間
辨識短命過程
事件 ID 10 ()
記錄一個程序開啟另一個程序時的紀錄。 這通常與以下情況相關:
憑證盜用
記憶體檢查
注射技術
由於此事件可能有雜訊,通常會搭配針對性過濾使用。
CreateRemoteThread (Event ID 8)
表示某程序在另一個程序中建立了執行緒——這是經典的程式碼注入技術。
這個活動音量低但訊號高。
程序篡改 (事件 ID 25)
當 Sysmon 偵測到處理影像處理技術時會產生,例如:
製程中空
Herpaderping(群獸飛翔)
此事件表示試圖偽裝或替換程序內容,且與進階惡意軟體密切相關。
網路與名稱解析活動
這些事件描述了程序如何與網路互動。
Network Connect (事件 ID 3)
記錄由程序發起的 TCP 與 UDP 連線,包括:
來源與目的地址
連接埠
通訊協定
相關流程 GUID
由於音量限制,此事件預設會被停用,應選擇性啟用。
DNS 查詢 (事件 ID 22)
記錄程序發出的 DNS 查詢,無論查詢是否成功。
DNS 事件特別適合以下用途:
識別外部基礎設施
偵測信標行為
偵測像加密貨幣挖礦工具這類惡意軟體
即使網路流量加密,DNS 事件也常提供早期指標。
檔案系統活動
這些事件描述了檔案的建立、修改與刪除。
檔案建立 (事件 ID 11)
記錄檔案建立或覆寫的時間。
常見用途:
偵測投放有效載荷
監控啟動與持久化位置
調查惡意軟體暫存
檔案建立時間變更 (事件 ID 2)
記錄程序明確修改檔案建立時間戳記的時間點。
攻擊者可能會利用此方法掩蓋惡意檔案的真實來源,但合法軟體也會執行此操作。
檔案刪除 (事件 ID 23 / 26)
紀錄檔案刪除活動。
事件編號 23 也會歸檔已刪除的檔案
事件 ID 26 紀錄刪除且未歸檔
這些事件對勒索軟體和清理分析非常有用。
檔案建立 Stream 雜湊 (事件 ID 15)
記錄中命名的替代資料串流,包括 Zone.Identifier 串流。
此事件有助於偵測來自網路的檔案及瀏覽器下載活動。
可執行檔案偵測與阻擋事件 (27–29)
這些事件記錄在建立過程中偵測到或阻擋執行檔的時間。
它們提供可執行的暫存行為與防禦性執法的洞察。
模組與驅動程式載入
這些事件描述了程式碼如何被導入記憶體。
影像載入 (事件 ID 7)
記錄 DLL 或可執行映像檔何時載入程序。
此活動對以下方面具有強大影響力:
DLL 注入偵測
側負荷分析
由於音量大,必須謹慎配置。
驅動程式載入 (事件 ID 6)
載入核心驅動程式時的記錄,包括簽章與雜湊資訊。
驅動程式載入罕見且影響深遠,因此此事件對於偵測核心層級威脅具有重要價值。
配置、持久性與 IPC
這些事件描述系統配置變更及程序間通訊。
登記處事件 (事件編號12–14)
記錄登錄表金鑰與值的建立、修改、刪除及重新命名。
它們對於偵測:
持久性機制
配置竄改
惡意軟體設定行為
Sysmon 使用縮寫根鍵名稱 (例如 HKLM、HKCU) 來正規化資料。
命名管狀活動 (活動編號17–18)
記錄建立並連接到命名管線。
命名管線常用於:
進程間通訊
元件間的惡意軟體協調
WMI 活動 (事件編號 19–21)
記錄 WMI 濾波器、消費者和綁定登記。
WMI 是無檔案惡意軟體常見的持久化與執行機制。
Sysmon 服務與設定事件
服務狀態變更 (事件 ID 4)
記錄 Sysmon 服務開始或停止的時間。
意外的攔截可能表示有人試圖竄改。
Configuration Change (Event ID 16)
記錄 Sysmon 設定更新時的資訊。
此事件提供可稽核性及遙測選擇的變更追蹤功能。
錯誤處理
錯誤 (事件 ID 255)
表示內部 Sysmon 錯誤,例如:
資源枯竭
失敗的行動
內部錯誤
這些事件應被監控以確保遙測的可靠性。
事件作為證據,而非警示
Sysmon 的核心原則之一是中立性。
事件並不代表惡意
稀有不代表惡意
常見不代表安全
意義透過以下方式浮現:
相關性
內容
行為模式隨時間變化
摘要
Sysmon 事件提供了解系統運作及攻擊如何展開所需的原始行為遙測資料。 每個事件都捕捉了特定類型的活動,其真正價值來自於將它們與時間軸和行為敘事相互關聯。
良好配置且理解良好的 Sysmon 事件可實現:
威脅狩獵
事件應變
法醫分析
長期行為基線分析