SysmonTools

^{Auf der Suche nach BSUiness-Partnern finden Sie unter www.cyber-distance.com für weitere Informationen}

Dieses Repository enthält Folgendes:

• Sysmon-Ansicht: Ein Offline-Tool zur Visualisierung von Sysmon-Protokollen.
• Sysmon Shell: Ein Sysmon -Konfigurationsdienstprogramm.
• Sysmon Box: Ein Sysmon- und Netzwerk -Capture -Protokollierungsprogramm.

• Versionshinweise
• Sysmon View
• Sysmon Shell
• Sysmon Box
• Zusätzliche Ressourcen
• Lizenz

• Sysmon -Ansicht: Version 3.1 kann die Network Trace -Capture mit dem Sysmon -Netzwerk -Ereignis importieren und korrelieren
• Sysmon Box: Neue Befehlszeilen -Dienstprogramm zum Erfassen von Sysmon- und Netzwerkereignissen (v1.0)
• Sysmon Shell: Fügte einen Befehl hinzu, um Konfigurationsdateien auf v9.0 zu aktualisieren (temporäre Lösung)

Sysmon View hilft bei der Verfolgung und Visualisierung von Sysmon-Protokollen, indem die verschiedenen Sysmon-Ereignisse logisch gruppieren und korrelieren und vorhandene Ereignisdaten verwendet, z.

Erste Schritte

Um zu beginnen, exportieren Sie Sysmon-Ereignisse mit dem integrierten Wevtutil in die XML-Datei, diese Datei wird später von Sysmon View importiert:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

Wenn Sie die SYSmon -Ansicht ausführen, und die generierte Datei „eventLog.xml“ (oder den von Ihnen ausgewählten Namen) führen, beachten Sie bitte, dass dies möglicherweise einige Zeit dauert, abhängig von der Größe der Protokolldatei (die Datei muss einmal importiert werden, müssen nachfolgende Ausführungen der Sysmon -Ansicht nicht das Importieren der Daten verwenden. File -> Load existing data erneut importiert, um die Daten zur vor früheren Daten zu importieren).

Alle Daten werden in eine SQLite -Datenbankdatei mit dem Namen sysmonviewdb importiert, die sich am selben Ort wie ausführbare Sysmon -Ansicht befindet. Diese Datei kann bei Bedarf mit anderen gemeinsam genutzt werden. Platzieren Sie einfach die Datei an derselben Stelle wie Sysmon -Ansicht und verwenden Sie die File -> Load existing data .

Jedes Mal, wenn eine neue XML-Datei importiert wird, wird die Datenbankdatei gelöscht und neu erstellt. Um alle zuvor importierten Daten zu erhalten, kopieren Sie die Datenbankdatei an einen anderen Ort oder benennen Sie sie einfach um.

Die Datenbank kann auch direkt in Ihren eigenen Anwendungen verwendet werden. Die Datenbank enthält Zusammenfassungen von Hashes, ausführbaren IP -Adressen, GEO -Zuordnungen und alle werden logisch über einen Dateinamen oder eine Sitzung verknüpft (ausführbare Richtlinien).

Sie können die Datenbankdatei direkt über eine SQLite -Verwaltungssoftware abfragen, ohne dass Sysmon -Ansicht erforderlich ist, um Berichte zu generieren oder Daten zu analysieren

Sysmon -Ansichten

Process View Diese Ansicht hilft einfach, sich auf eine Zusammenfassung der "Laufsitzungen" zu konzentrieren. Zum Beispiel kann der Analytiker mit dem ausführbaren Namen (wie CMD.Exe) oder dem Ereignistyp (z. B. Netzwerkereignis) von dort angewendet werden, um beispielsweise weitere Filterungen angewendet werden zu können, beispielsweise das Finden von Laufsitzungen, die für die gleiche Binärdatei stammen, jedoch an verschiedenen Stellen. In dieser Ansicht wird die Prozessguid verwendet, um Ereignisse pro Sitzung "Ausführen" zu filtern. Durch die Auswahl einer laufenden Sitzung (aus der Liste der GUIDs) werden alle anderen verwandten (korrelierten) Ereignisse in einer einfachen datenflussähnlichen Ansicht angezeigt, die mit der Zeit des Ereignisses sortiert ist. Hinweis: Wenn Daten aus einer Elasticsearch -Instanz anstelle von einzelnen Maschinen importiert werden, können Ereignisse pro ausführbarer Maschine angeordnet werden. Überprüfen Sie den vorherigen Abschnitt "Experimentelle - Sysmon View und Elasticsearch" ).

Der Zugriff auf Sysmon-Ereignisdetails wird bereitgestellt, indem einfach ein Ereignis in der Ansicht doppelklicken. Die vorherige Bildschirmaufnahme zeigt beispielsweise die Details des Prozesserstellungsereignisses (Ereignis-ID 1). Das Tool kann sich auch in Virustotal auf die Nachfrage nach weiteren Hash- und IP-Suchanlagen integrieren (erfordert eine API-Schlüsselregistrierung).

Kartenansicht : Während des Importprozesses des Ereignisses gibt es eine Option, um IP-Adressen von Geo-Lode zu erstellen. Wenn gesetzt wird, versucht die Sysmon-Ansicht, mit https://ipstack.com/ Service zu Netzwerkzielen zu führen.

In der MAP -Ansicht ist es einfach, zwischen korrelierten (verwandten) Ereignissen zu navigieren, indem ein Netzwerkereignis als Ausgangspunkt verwendet wird. Auch das Tool kann dies mithilfe der Richtlinien für den Auslaufprozesssitzung erreichen. Um verwandte Ereignisse zu erkunden, verwenden Sie die Hyperlinks für die Sitzungsrichtlinie. Eine neue Ansicht, die der Prozessansicht ähnelt, wird in einem neuen Fenster mit allen zugehörigen Sitzungsereignissen angezeigt:

Alle Ereignisansichten können auch verwendet werden, um alle Sysmon -gesammelten Ereignisdaten durchzuführen . Sie hilft auch beim Betrachten von Ereignissen, die sich nicht auf andere Ereignisse beziehen, z. Die Navigation zwischen verwandten Ereignissen wird zusätzlich zu den Ereignisdetails weiterhin mit dem Prozessguid bereitgestellt, indem Sie auf den FID -Link klicken

Darüber hinaus unterstützt die Ansicht von All Events eine Pivot-ähnliche (Gruppierung) Anordnung von Ereignissen nach Maschinenname, Ereignistyp oder GUID, wie unten gezeigt

Mehrere Gruppierungsstufen sind ebenfalls möglich

Sysmon Shell kann beim Schreiben und Anwenden von Sysmon XML -Konfigurationen über eine einfache GUI -Schnittstelle helfen.

Sysmon Shell kann auch verwendet werden, um die verschiedenen Konfigurationsoptionen zu untersuchen, die für Sysmon verfügbar sind, die XML -Konfiguration einfach anwenden und aktualisieren, zusätzlich zum Exportieren von Sysmon -Ereignisprotokollen kamen:

• Sysmon Shell kann Sysmon XML -Konfigurationsdateien laden: Die aktuelle Version unterstützt alle Sysmon -Schemas. (Das Tool lädt keine Konfigurationen direkt aus der Registrierung, sondern nur aus XML -Dateien.)
• Es kann das endgültige XML in eine Datei exportieren/speichern.
• Es kann die generierte XML -Konfigurationsdatei anwenden, indem Sysmon.exe -c command direkt aufgerufen wird (erstellen Sie eine temporäre XML -Datei im selben Ordner, in dem Sysmon installiert wird). Wenn diese Funktion verwendet wird, erfordert Sysmon Shell erhöhte Berechtigungen (die Notwendigkeit, dies zu erstellen.
• Die XML
• Die letzte Registerkarte (mit dem "Protokollexport") könnte praktisch werden, um Sysmon -Ereignisprotokolle schnell in XML zu exportieren, was später mit "Sysmon View" für die Ereignisanalyse verwendet werden kann. Der Export hat drei Optionen:
  • Nur exportieren
  • Export- und klarer Sysmon -Ereignisprotokoll
  • Exportieren, Sicherung der EVTX -Datei und löschen Sie das Ereignisprotokoll
• Das Dienstprogramm enthält Beschreibungen für alle Ereignisse von Sysmon Sysinternals Homepage (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
• Sysmon Shell wird mit vielen Sysmon -Konfigurationsvorlagen gebündelt, die von anderen Sicherheitsexperten erstellt wurden

Was es nicht tun wird : Warnen Sie vor Konflikten/ausschließen oder versuchen, die Regeln selbst zu validieren. Sobald die Konfiguration angewendet wird, zeigt der Vorschaufel -Bereich die von Sysmon -c command erfasste Ausgabe an

Sysmon Box ist ein kleines Dienstprogramm, das beim Aufbau einer Datenbank mit erfasstem Sysmon und Netzwerkverkehr helfen kann.

Verwenden Sie den folgenden Befehl, um Sysmon Box auszuführen (Sysmon muss zusammen mit TSHark in Betrieb sein):

SysmonBox -in Wi-Fi

Das Tool führt dann Folgendes aus:

• Erfassen Sie den Verkehr (mit TSHARK im Hintergrund, aus diesem Grund müssen Sie die Capture -Schnittstelle angeben).
• Die Sysmon -Box stoppt dann die Verkehrsaufnahme, Dumpel alle erfassten Pakete in eine Datei und exportieren Sysmon -Protokolle, die zwischen Start- und Endzeit der Sitzung mit EVT -Dienstprogramm aufgezeichnet wurden
• Erstellen Sie eine Sysmon View -Datenbankdatei (Backup vorhanden) mit importierten Protokollen aus Sysmon und erfasstem Verkehr. Sie müssen lediglich die Sysmon -Ansicht aus demselben Ordner ausführen oder die Datenbankdatei (sysmonviewdb) in denselben Ordner wie Sysmon -Ansicht einfügen (die Paketaufnahmen an derselben Stelle halten).

• Weitere Informationen zu Sysmon View & Sysmon Shell finden Sie in meinem Blog https://nosecurecode.com/
• Das Folgende ist eine gute Übersicht über Sysmon und Sysmon View https://www.fwhibbit.es/sysmon-the-big-bher-of-windows-and-the --super-sysmonview

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.