sysmon config

Esta es una plantilla de archivo de configuración de Microsoft Sysinternals Sysmon con rastreo de eventos de alta calidad predeterminado.

El archivo debe funcionar como un excelente punto de partida para el monitoreo del cambio de sistema en un paquete autónomo y accesible. Esta configuración y resultados deberían darle una buena idea de lo que es posible para Sysmon. Tenga en cuenta que esto no rastrea cosas como la autenticación y otros eventos de Windows que también son vitales para la investigación de incidentes.

sysmonconfig-export.xml

Debido a que prácticamente se comenta cada línea y las secciones están marcadas con explicaciones, también debe funcionar como un tutorial para Sysmon y una guía para las áreas críticas de monitoreo en los sistemas de Windows.

• Para un enfoque mucho más exhaustivo y detallado para la configuración de Sysmon a partir de un enfoque diferente, consulte también Sysmon-Modular por @olafhartong, que puede actuar como un superconjunto de Sysmon-Config.

• Sysmon es un cumplido para las habilidades de registro de Windows nativas, no un reemplazo para ello. Para obtener consejos valiosos sobre estas configuraciones, consulte las hojas de trucos de registro de MalwareChaeology de @hackerhurricane.

Nota: Las opciones exactas de sintaxis y filtrado en la configuración son altamente deliberadas en lo que se dirigen y tener el menor impacto de rendimiento posible. Las habilidades de filtrado de Sysmon son diferentes a las características de auditoría de Windows incorporadas, por lo que a menudo se adopta un enfoque diferente que la lista estática normal de rutas.

Ver otras horquillas de esta configuración

Ejecutar con los derechos del administrador

 sysmon.exe -accepteula -i sysmonconfig-export.xml

Ejecutar con los derechos del administrador

 sysmon.exe -c sysmonconfig-export.xml

Ejecutar con los derechos del administrador

 sysmon.exe -u

Recomiendo encarecidamente el uso de Notepad ++ para editar esta configuración. Entiende el formato UNIX NewLine y hace resaltar la sintaxis XML, lo que hace que esto sea muy comprensible. No recomiendo usar el notepad.exe incorporado.

Deberá instalar y observar los resultados de la configuración en su propio entorno antes de implementarla ampliamente. Por ejemplo, deberá excluir las acciones de su antivirus, lo que de otro modo probablemente llenará sus registros con información inútil.

La configuración es muy comentada y diseñada para ser autoexplicada para ayudarlo en esta personalización a su entorno.

Esta configuración espera que el software esté instalado en todo el sistema y no en la carpeta C: Users. Varias piezas de software se instalan en directorios de usuarios, que están sujetos a un monitoreo adicional. Siempre que sea posible, debe instalar la versión en todo el sistema de estas piezas de software, como Chrome. Consulte el archivo de configuración para obtener más instrucciones.