الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

أدوات Sysmon

تبحث عن شركاء BSUiness ، يرجى زيارة www.cyber-distance.com لمزيد من المعلومات

المرافق لسيسمون

يحتوي هذا المستودع على ما يلي:

  • عرض Sysmon: أداة تصور سجل Sysmon خارج الخط.
  • Sysmon Shell: أداة تكوين Sysmon.
  • Sysmon Box: أداة تسجيل التقاط الشبكة وشبكة.

محتوى

  • ملاحظات الإصدار
  • عرض Sysmon
  • شل sysmon
  • مربع Sysmon
  • موارد إضافية
  • رخصة

ملاحظات الإصدار

  • عرض Sysmon: الإصدار 3.1 يمكن استيراد وربط التتبع الشبكة مع حدث شبكة Sysmon
  • Sysmon Box: أداة سطر أوامر جديدة لالتقاط أحداث Sysmon والشبكة (v1.0)
  • Sysmon Shell: أضيفت أمرًا لترقية ملفات التكوين إلى V9.0 (حل مؤقت)

عرض Sysmon

تساعد Sysmon View في تتبع وتصور سجلات Sysmon من خلال تجميع وربط أحداث Sysmon المختلفة معًا ، باستخدام بيانات الأحداث الحالية ، مثل أسماء التنفيذيين ، Guids ، وقت إنشاء الأحداث ، وما إلى ذلك.

ابدء

للبدء ، تصدير أحداث Sysmon إلى ملف XML باستخدام WevTutil المدمج ، وسيتم استيراد هذا الملف لاحقًا بواسطة Sysmon View:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

بمجرد تصديرها ، قم بتشغيل عرض sysmon واستيراد الملف الذي تم إنشاؤه "eventlog.xml" (أو الاسم الذي حددته) ، يرجى ملاحظة أن هذا قد يستغرق بعض الوقت ، اعتمادًا على حجم ملف السجل (يجب استيراد الملف مرة واحدة ، لا تتطلب تشغيل File -> Load existing data في وقت سابق مرة أخرى من جديد).

سيتم استيراد جميع البيانات إلى ملف قاعدة بيانات SQLite المسمى SysmonViewDB الذي يوجد في نفس موقع Sysmon View قابل للتنفيذ. يمكن مشاركة هذا الملف مع الآخرين إذا لزم الأمر ، ما عليك سوى وضع الملف في نفس الموقع مثل عرض Sysmon واستخدم File -> Load existing data .

في كل مرة يتم استيراد ملف XML جديد ، سيتم حذف ملف قاعدة البيانات وإعادة إنشاءه. للحفاظ على أي بيانات مستوردة مسبقًا ، انسخ ملف قاعدة البيانات إلى موقع آخر أو ببساطة إعادة تسميته.

يمكن استخدام قاعدة البيانات مباشرة في التطبيقات الخاصة بك أيضًا ، تحتوي قاعدة البيانات على ملخصات تجزئة ، تنفيذية ، عناوين IP ، تعيينات الجيور وكلها مرتبطة بشكل منطقي من خلال اسم ملف أو جلسة (GUID القابلة للتنفيذ).

يمكنك الاستعلام عن ملف قاعدة البيانات مباشرة باستخدام أي برنامج إدارة SQLite دون الحاجة إلى عرض Sysmon ، على سبيل المثال ، لإنشاء تقارير أو تحليل البيانات

وجهات النظر Sysmon

عرض العملية هذه النظرة تساعد ببساطة على التركيز على ملخص لـ "جلسات التشغيل" ، على سبيل المثال ، يمكن للمحلل أن يبدأ بالاسم القابل للتنفيذ (مثل cmd.exe) أو نوع الحدث (مثل حدث الشبكة) ، من هناك ، يمكن تطبيق المزيد من التصفية ، على سبيل المثال ، إيجاد جلسات تشغيل تنشئة لنفس الثنائي ، ولكن من مواقع مختلفة. تستخدم طريقة العرض هذه العملية GUID لتصفية الأحداث لكل جلسة "Run" ، واختيار أي جلسة تشغيل (من قائمة GUIDS) سيعرض جميع الأحداث الأخرى ذات الصلة (المرتبطة) في طريقة عرض بسيطة تشبه تدفق البيانات ، تم فرزها باستخدام وقت الحدث. ملاحظة: في حالة استيراد البيانات من مثيل Elasticsearch بدلاً من جهاز واحد ، يمكن ترتيب الأحداث لكل جهاز لكل جهاز - تحقق من القسم السابق "التجريبي - عرض Sysmon و Elasticsearch" ).

يتم توفير تفاصيل حدث Sysmon من خلال ببساطة النقر نقرًا مزدوجًا على أي حدث في العرض ، على سبيل المثال ، يوضح التقاط الشاشة السابق تفاصيل حدث إنشاء العملية (معرف الحدث 1) ، يمكن أن تتكامل الأداة أيضًا مع Virustotal عند الطلب لمزيد من البحث عن التجزئة و IP (يحتاج إلى تسجيل مفتاح API).

عرض الخريطة : أثناء عملية استيراد الأحداث ، هناك خيار لعناوين IP Geo Cooting ، إذا تم تعيينه ، فسيحاول عرض Sysmon وجهات الشبكة الجغرافية باستخدام https://ipstack.com/ الخدمة.

في عرض الخريطة ، من السهل التنقل بين الأحداث المرتبطة (ذات الصلة) باستخدام حدث الشبكة كنقطة انطلاق ، مرة أخرى ، يمكن للأداة تحقيق ذلك باستخدام GUID جلسة تشغيل عملية التشغيل. لاستكشاف الأحداث ذات الصلة ، استخدم الارتباطات التشعبية لـ Session Guid ، وسيظهر عرض جديد مشابه لعرض العملية في نافذة جديدة مع جميع أحداث الجلسة ذات الصلة:

يمكن أيضًا استخدام عرض جميع الأحداث لإجراء عملية بحث كاملة من خلال جميع بيانات الأحداث التي تم جمعها Sysmon ، كما أنها تساعد في عرض الأحداث التي لا تتعلق بالأحداث الأخرى ، مثل نوع الحدث "المحمل". لا يزال يتم توفير التنقل بين الأحداث ذات الصلة باستخدام GUID العملية بالإضافة إلى تفاصيل الحدث من خلال النقر على رابط FID

بالإضافة إلى ذلك ، تدعم عرض جميع الأحداث ترتيب أحداث تشبه المحور (تجميع) للأحداث ، حسب اسم الجهاز ، نوع الحدث أو GUID ، كما هو موضح أدناه

مستويات التجميع المتعددة ممكنة أيضًا

شل sysmon

يمكن أن تساعد Sysmon Shell في كتابة وتطبيق تكوينات Sysmon XML من خلال واجهة واجهة المستخدم الرسومية البسيطة.

يمكن أيضًا استخدام Sysmon Shell لاستكشاف خيارات التكوين المختلفة المتاحة لـ Sysmon ، وتطبيقها بسهولة وتحديث تكوين XML ، بالإضافة إلى تصدير سجلات أحداث Sysmon ، باختصار:

  • يمكن لـ Sysmon Shell تحميل ملفات تكوين Sysmon XML: يدعم الإصدار الحالي جميع مخططات Sysmon. (لا تقوم الأداة بتحميل أي تكوينات مباشرة من السجل ، فقط من ملفات XML).
  • يمكنه تصدير/حفظ XML النهائي إلى ملف.
  • يمكنه تطبيق ملف تكوين XML الذي تم إنشاؤه عن طريق استدعاء Sysmon.exe -c command مباشرة (إنشاء ملف XML مؤقت في نفس المجلد حيث يتم تثبيت Sysmon) ، لهذا السبب ، إذا تم استخدام هذه الميزة ، فسيتطلب sysmon shell امتيازات مرتفعة (الحاجة إلى هذا الموروث من عملية Sysmon نفسها)
  • يمكن معاينة تكوين XML قبل حفظها في جزء المعاينة
  • قد تصبح علامة التبويب الأخيرة (تحمل علامة "Logs Export") مفيدة لتصدير سجلات الأحداث Sysmon بسرعة إلى XML ، والتي يمكن استخدامها لاحقًا مع "Sysmon View" لتحليل الأحداث ، يحتوي التصدير على ثلاثة خيارات:
    • التصدير فقط
    • سجل الأحداث الصادر والمسح sysmon
    • تصدير ، ملف EVTX النسخ الاحتياطي وقم بمسح سجل الحدث
  • تحتوي الأداة المساعدة على أوصاف لجميع أنواع الأحداث المأخوذة من صفحة Sysmon Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
  • يأتي Sysmon Shell مع العديد من قوالب تكوين Sysmon التي أنشأها أخصائيو الأمن الآخرين

ما لن يفعله : تحذرك بشأن تضمين/استبعاد التعارضات أو محاولة التحقق من صحة القواعد نفسها ، ومع ذلك ، بمجرد تطبيق التكوين ، سيعرض جزء المعاينة المخرجات التي تم التقاطها من sysmon.exe عند تطبيق التكوين (إخراج Sysmon -c command ) ، والتي يمكن تحديدها من خلال تحديد الأخطاء.

مربع Sysmon

Sysmon Box هو أداة صغيرة يمكن أن تساعد في بناء قاعدة بيانات من Sysmon الملتقط وحركة الشبكة.

لتشغيل Sysmon Box ، استخدم الأمر التالي (يجب أن يكون Sysmon يعمل مع Tshark):

SysmonBox -in Wi-Fi

ثم ستنفذ الأداة ما يلي:

  • ابدأ في التقاط حركة المرور (باستخدام Tshark في الخلفية ، ولهذا يجب عليك تحديد واجهة الالتقاط) ، عند الانتهاء ، اضغط على Ctrl + C لإنهاء الجلسة
  • سيقوم Sysmon Box بعد ذلك بوقف التقاط حركة المرور ، وتفريغ جميع الحزم الملتقطة إلى ملف وسجلات Sysmon تصدير مسجلة بين وقت البدء والنهاية في الجلسة باستخدام الأداة المساعدة EVT
  • قم بإنشاء ملف قاعدة بيانات عرض Sysmon (نسخ احتياطي موجود) مع سجلات مستوردة من Sysmon وحركة المرور التي تم التقاطها ، كل ما عليك فعله هو تشغيل عرض Sysmon من نفس المجلد أو وضع ملف قاعدة البيانات (SysmonViewDB) في نفس المجلد مثل عرض Sysmon (حافظ على التقاطات في نفس الموقع)

موارد إضافية

  • يمكنك قراءة المزيد حول Sysmon View & Sysmon Shell على مدونتي https://nosecurecode.com/
  • فيما يلي نظرة عامة جيدة حول عرض Sysmon و Sysmon https://www.fwhibbit.es/sysmon-the-big-brother-of-windows-and-super-sysmonview

رخصة 

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل