Использование данных Sysmon DNS для реагирования на инциденты

Последние версии Sysmon поддерживают протоколирование DNS-запросов.

Это делается через событие ID 22 в журнале Applications and Services Log > Microsoft > Windows > Sysmon Operational.

Чтобы включить регистрацию DNS, необходимо включить секцию DnsQuery в конфигурационный файл Sysmon. Например:

<Sysmon schemaversion="4.21">
 <EventFiltering>
    <DnsQuery onmatch="exclude" />
 </EventFiltering>
</Sysmon>

Обратите внимание, что включение DNS-запросов может быть шумным. Лучше всего применить фильтрацию, предложенную в конфигурационном файле SwiftOnSecurity sysmon, и, кроме того, отфильтровать часто используемые внутренние имена хостов.

Добавить комментарий