sysmon config
1.0.0
Dies ist eine Microsoft-Sysinternals Sysmon-Konfigurationsdateivorlage mit Standard-Ereignisverfolgung.
Die Datei sollte als großartiger Ausgangspunkt für die Systemänderung der Überwachung in einem in sich geschlossenen und zugänglichen Paket fungieren. Diese Konfiguration und Ergebnisse sollten Ihnen eine gute Vorstellung davon geben, was für Sysmon möglich ist. Beachten Sie, dass dies nicht die Authentifizierung und andere Windows -Ereignisse verfolgt, die auch für die Untersuchung von Vorfällen von entscheidender Bedeutung sind.
sysmonconfig-export.xml
Da praktisch jede Zeile kommentiert wird und Abschnitte mit Erklärungen gekennzeichnet sind, sollte sie auch als Tutorial für Sysmon und als Leitfaden für kritische Überwachungsbereiche in Windows -Systemen fungieren.
Für einen weitaus umfassenderen und detaillierteren Ansatz zur Sysmon-Konfiguration von einem anderen Ansatz siehe auch Sysmon-Modular von @olafhartong, das als Superset von Sysmon-Config dienen kann.
Sysmon ist ein Kompliment für native Windows -Protokollierungsfähigkeiten, kein Ersatz dafür. Für wertvolle Ratschläge zu diesen Konfigurationen finden Sie in Malwarearchaeology Logging Cheat Sheets von @HackerHurricane.
HINWEIS: Die genaue Syntax- und Filterentscheidungen in der Konfiguration sind in dem, was sie abzielen, sehr absichtlich und so wenig Leistung wie möglich. Die Filterfähigkeiten von Sysmon unterscheiden sich von den integrierten Windows-Prüfungsfunktionen, so dass ein anderer Ansatz oft gewählt wird als die normale statische Auflistung von Pfaden.
Siehe andere Gabeln dieser Konfiguration
Mit Administratorrechten ausführen
sysmon.exe -accepteula -i sysmonconfig-export.xml
Mit Administratorrechten ausführen
sysmon.exe -c sysmonconfig-export.xml
Mit Administratorrechten ausführen
sysmon.exe -u
Empfehlen Sie die Verwendung von Notepad ++, um diese Konfiguration zu bearbeiten. Es versteht das Unix -Newline -Format und macht XML -Syntax hervor, was dies sehr verständlich macht. Ich empfehle nicht, den eingebauten Notepad.exe zu verwenden.
Sie müssen die Ergebnisse der Konfiguration in Ihrer eigenen Umgebung installieren und beobachten, bevor Sie sie umfassend bereitstellen. Beispielsweise müssen Sie Aktionen Ihres Antivirus ausschließen, die Ihre Protokolle sonst wahrscheinlich mit nutzlosen Informationen füllen.
Die Konfiguration ist stark kommentiert und als selbsterklärend ausgelegt, um Sie bei dieser Anpassung an Ihre Umgebung zu unterstützen.
Diese Konfiguration erwartet, dass Software systemweit und nicht im Ordner c: user installiert wird. Verschiedene Software -Teile installieren sich in Benutzerverzeichnissen, die einer zusätzlichen Überwachung unterliegen. Wenn möglich, sollten Sie die systemweite Version dieser Softwarestücke wie Chrome installieren. Weitere Anweisungen finden Sie in der Konfigurationsdatei.
