sysmon config
1.0.0
هذا هو قالب ملف تكوين Microsoft Sysinternals Sysmon مع تتبع الأحداث العالي الجودة الافتراضي.
يجب أن يعمل الملف كنقطة انطلاق رائعة لمراقبة تغيير النظام في حزمة قائمة بذاتها ويمكن الوصول إليها. يجب أن يمنحك هذا التكوين والنتائج فكرة جيدة عن ما هو ممكن لـ Sysmon. لاحظ أن هذا لا يتتبع أشياء مثل المصادقة وأحداث Windows الأخرى التي تعتبر أيضًا حيوية للتحقيق في الحوادث.
SysmonConfig-Export.xml
نظرًا لأنه يتم التعليق تقريبًا على كل سطر ويتم تمييز الأقسام بتفسيرات ، يجب أن تعمل أيضًا كبرنامج تعليمي لـ Sysmon ودليل لمناطق المراقبة الحرجة في أنظمة Windows.
للحصول على نهج أكثر شمولية وتفصيلية لتكوين Sysmon من نهج مختلف ، انظر أيضًا Sysmon-Modular بواسطة Olafhartong ، والذي يمكن أن يكون بمثابة مجموعة من sysmon-config.
Sysmon هو مجاملة لقدرات تسجيل Windows الأصلية ، وليس بديلاً عن ذلك. للحصول على نصيحة قيمة بشأن هذه التكوينات ، انظر Malwarearchaeology تسجيل أوراق الغش بواسطة HackerHurricane.
ملاحظة: إن بناء الجملة واختيارات التصفية الدقيقة في التكوين متعمدون للغاية فيما يستهدفه ، وله تأثيره على الأداء قدر الإمكان. تختلف قدرات تصفية Sysmon عن ميزات تدقيق Windows المدمجة ، وغالبًا ما يتم اتباع نهج مختلف عن القائمة الثابتة العادية للمسارات.
انظر شوكات أخرى من هذا التكوين
تشغيل مع حقوق المسؤول
sysmon.exe -accepteula -i sysmonconfig-export.xml
تشغيل مع حقوق المسؤول
sysmon.exe -c sysmonconfig-export.xml
تشغيل مع حقوق المسؤول
sysmon.exe -u
نوصي بشدة باستخدام Notepad ++ لتحرير هذا التكوين. إنه يفهم تنسيق UNIX Newline ويقوم بتوضيح بناء جملة XML ، مما يجعل هذا مفهومًا للغاية. لا أوصي باستخدام المفكرة المدمجة.
ستحتاج إلى تثبيت ومراقبة نتائج التكوين في بيئتك الخاصة قبل نشرها على نطاق واسع. على سبيل المثال ، ستحتاج إلى استبعاد إجراءات مكافحة الفيروسات ، والتي من المحتمل أن تملأ سجلاتك بمعلومات عديمة الفائدة.
تم التعليق بشكل كبير على التكوين ومصمم ليكون محسوسًا ذاتيًا لمساعدتك في هذا التخصيص لبيئتك.
يتوقع هذا التكوين تثبيت البرنامج على مستوى النظام وليس في مجلد C: Users. تقوم أجزاء مختلفة من البرامج بتثبيت نفسها في أدلة المستخدمين ، والتي تخضع لمراقبة إضافية. حيثما أمكن ، يجب عليك تثبيت الإصدار على مستوى النظام من هذه البرامج ، مثل Chrome. راجع ملف التكوين لمزيد من التعليمات.
