Sysmon - это мощный инструмент мониторинга для систем Windows. Невозможно раскрыть всю его мощь без использования конфигурационного XML, который позволяет включать или исключать определенные типы событий или события, генерируемые определенным процессом. Используйте конфигурацию для исключения источников большого объема или типов событий, представляющих меньший интерес (например, завершение процесса).
Установка
- Установка Sysmon в Windows
- Установка Sysmon в Debian
- Установка Sysmon в Ubuntu
- Установка Sysmon в CentOS
Пример файла конфигурации
Следующий пример может помочь вам понять формат и определить свои собственные правила.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | <sysmon schemaversion="1.0"> <configuration> <!-- Захват MD5 хэшей --> <hashing>MD5</hashing> <!-- Включить сетевое протоколирование --> <network /> </configuration> <rules> <!-- Регистрировать все драйверы, за исключением случаев, когда подпись --> <!-- содержит Microsoft или Windows --> <driverLoad default="include"> <signature condition="contains">microsoft</signature> <signature condition="contains">windows</signature> </driverLoad> <!-- Не регистрировать завершение процесса --> <processTerminate /> <!-- Исключить определенные процессы, которые вызывают большое количество событий --> <processCreate default="include"> <image condition="contains">chrome.exe</image> </processCreate> <!-- Не регистрировать метки времени создания файлов --> <fileCreateTime /> <!-- Не регистрировать сетевые подключения определенного процесса или порта --> <networkConnect default="include"> <image condition="contains">chrome.exe</image> <destinationPort>123</destinationPort> </networkConnect> </rules> </sysmon> |
Ниже перечислены доступные условия для записей поля:
- is - По умолчанию, значения равны.
- is not - Значения различны.
- contains - Поле содержит данное значение.
- excludes - Поле не содержит этого значения.
- begin with - Поле начинается с этого значения.
- end with - Поле заканчивается этим значением.
- less than - Лексикографическое сравнение меньше нуля.
- more than - Лексикографическое сравнение больше нуля.
- image - Сопоставить путь к образу (полный путь или только имя образа). Например: lsass.exe будет соответствовать c:\windows\system32\lsass.exe.
Пример файла конфигурации для последней версии
По умолчанию в журнал пишутся все события, файл конфигурации позволяет более узко указать какие процессы записывать или исключать
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | <Sysmon schemaversion="4.81"> <!-- Захват md5,sha1,sha256хэшей --> <HashAlgorithms>md5,sha1,sha256</HashAlgorithms> <CheckRevocation/> <EventFiltering> <RuleGroup name="" groupRelation="or"> <ProcessCreate onmatch="exclude"> <!--исключаем процессы Google Chrome--> <CommandLine condition="begin with">"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=</CommandLine> <CommandLine condition="begin with">"C:\Program Files\Google\Chrome\Application\chrome.exe" --type=</CommandLine> </ProcessCreate> </RuleGroup> <!--SYSMON EVENT ID 5 --> <!--Исключаем все событий завершения процессов --> <RuleGroup name="ProcessTerminate - Include" groupRelation="or"> <ProcessTerminate onmatch="include"> <!-- Empty rule set --> </ProcessTerminate> </RuleGroup> <RuleGroup name="" groupRelation="or"> <RegistryEvent onmatch="include"> <!--Включаем запись изменений в реестре, только для ветки CurrentVersion\Run --> <TargetObject condition="contains">CurrentVersion\Run</TargetObject> </RegistryEvent> </RuleGroup> </EventFiltering> </Sysmon> |