Sysmon笔记

Sysmon笔记

官网介绍

    系统监视器（Sysmon）是Windows系统服务和设备驱动程序，一旦安装在系统上，便会驻留在系统重新引导期间，以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建，网络连接以及文件创建时间更改的详细信息。通过收集使用Windows Event Collection 或 SIEM 代理生成的事件并随后对其进行分析，您可以识别恶意或异常活动，并了解入侵者和恶意软件如何在您的网络上运行。请注意，Sysmon不提供对其生成的事件的分析，也不会尝试保护自己或使其免受攻击者的侵害。

#sysmon下载

 -i -n  #32位
 -i -n  #64位#sysmon配置文件
sysmon -c  #查看配置
sysmon -l  #xx.xml为sysmon配置文件，详见下面“收集全部事件的配置文件”#sysmon卸载
sysmon -u

过滤器标签：

ProcessCreate            进程创建
FileCreateTime           文件创建时间更改
NetworkConnect           检测到网络连接
ProcessTerminate         进程终止
DriverLoad               驱动程序已加载
ImageLoad                镜像加载
CreateRemoteThread       已检测到创建远程线程
RawAccessRead            检测到原始访问读取
ProcessAccess            已访问的进程
FileCreate               文件创建
RegistryEvent            添加或删除注册表对象
RegistryEvent            注册表值设置
RegistryEvent            注册表对象已重命名
FileCreateStreamHash     已创建文件流
PipeEvent                管道创建
PipeEvent                管道已连接
WmiEvent                 检测到WmiEventFilter活动
WmiEvent                 检测到WmiEventConsumer活动
WmiEvent                 检测到WmiEventConsumerToFilter活动
DnsQuery                 DNS查询

标签使用说明:

使用onmacth标记配置文件中 过滤器规则 include exclude
include:仅包含include的规则配置
exclude:除去该规则配置, 其他全包含
PS:例如，此规则将丢弃网络连接中目的IP=10.29.1.1和10.29.9.6的通信请求
<Sysmon schemaversion="4.23"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><ProcessCreate onm