SysmonTools

^{Buscando socios de Bsuiness, visite www.cyber-distance.com para obtener más información}

Este repositorio contiene lo siguiente:

• Vista de Sysmon: una herramienta de visualización de registro de Sysmon fuera de línea.
• Sysmon Shell: una utilidad de configuración de Sysmon.
• Sysmon Box: una utilidad de registro de captura de red y Sysmon.

• Notas de lanzamiento
• Sysmon View
• Cáscara de sysmon
• Caja de sysmon
• Recursos adicionales
• Licencia

• Vista de Sysmon: la versión 3.1 puede importar y correlacionar la captura de rastreo de red con el evento de la red Sysmon
• Sysmon Box: nueva utilidad de línea de comandos para capturar Sysmon y eventos de red (v1.0)
• Sysmon Shell: agregó un comando para actualizar los archivos de configuración a V9.0 (solución temporal)

Sysmon View ayuda a rastrear y visualizar registros de Sysmon mediante la agrupación y correlacionando lógicamente los diversos eventos de Sysmon, utilizando datos de eventos existentes, como nombres de ejecutables, guías de sesión, tiempo de creación de eventos, etc., la herramienta luego reorganiza estos datos para mostrar en múltiples vistas

Empezando

Para comenzar, exporte los eventos de Sysmon al archivo XML utilizando el wevtutil incorporado, este archivo será importado más tarde mediante Sysmon View:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

Una vez exportado, ejecute Sysmon View e importe el archivo generado "EventLog.xml" (o el nombre que seleccionó), tenga en cuenta que esto puede tomar un poco de tiempo, dependiendo del tamaño del archivo de registro (el archivo debe importarse una vez que se importen las ejecuciones posteriores de Sysmon View no requieren importar los datos nuevamente, solo use el File -> Load existing data para cargar datos importados nuevamente).

Todos los datos se importarán a un archivo de base de datos SQLite llamado SYSMONVIEWDB que reside en la misma ubicación que el ejecutable Sysmon View. Este archivo se puede compartir con otros si es necesario, simplemente coloque el archivo en la misma ubicación que la vista Sysmon y use el File -> Load existing data .

Cada vez que se importa un nuevo archivo XML, el archivo de la base de datos se eliminará y recreará. Para preservar los datos importados previamente, copie el archivo de la base de datos a otra ubicación o simplemente cambie el nombre.

La base de datos también se puede usar directamente en sus propias aplicaciones, la base de datos contiene resúmenes de hashes, ejecutables, direcciones IP, asignaciones geográficas y todas están lógicamente vinculadas a través de un nombre de archivo o una sesión (GUID ejecutable).

Puede consultar el archivo de la base de datos directamente utilizando cualquier software de administración de SQLite sin la necesidad de Sysmon View, por ejemplo, para generar informes o analizar datos

Vistas de Sysmon

Vista de proceso Esta vista simplemente ayuda a centrarse en un resumen de "Sesiones de ejecución", por ejemplo, el analista puede comenzar con el nombre ejecutable (como cmd.exe) o el tipo de evento (como el evento de red), a partir de ahí, se puede aplicar un filtrado adicional, por ejemplo, encontrar sesiones de ejecución originadas para el mismo binario, pero de diferentes ubicaciones. Esta vista utiliza el proceso GUID para filtrar eventos por sesión "Ejecutar", seleccionar cualquier sesión de ejecución (de la lista de GUIDS) mostrará todos los demás eventos relacionados (correlacionados) en una vista simple de flujo de datos, ordenado utilizando la hora del evento. Nota: En caso de que se importen datos de una instancia de Elasticsearch en lugar de una sola máquina, los eventos se pueden organizar por ejecutable por máquina, verifique la sección anterior "experimental - Sysmon View y ElasticseSearch" ).

El acceso a los detalles del evento Sysmon se proporciona simplemente haciendo doble clic en cualquier evento en la vista, por ejemplo, la captura de pantalla anterior muestra los detalles del evento de creación de procesos (ID de evento 1), la herramienta también puede integrarse con Virustotal a la demanda de una mayor búsqueda de hash e IP (necesita un registro de clave API).

Vista del mapa : durante el proceso de importación de eventos, hay una opción para ubicar las direcciones IP, si se establece, Sysmon View intentará destinos de red Geo-Map utilizando https://ipstack.com/ Service.

En la vista del mapa , es fácil navegar entre eventos correlacionados (relacionados) utilizando un evento de red como punto de partida, nuevamente, la herramienta puede lograr esto utilizando la sesión de sesión de proceso en ejecución. Para explorar eventos relacionados, use los hipervínculos para el GUID de la sesión, una nueva vista similar a la vista de procesos aparecerá en una nueva ventana con todos los eventos de sesión relacionados:

Toda la vista de eventos también se puede utilizar para hacer una búsqueda completa a través de todos los datos de eventos recopilados Sysmon, también ayuda a ver eventos que no se relacionan con otros eventos, como el tipo de evento "cargado de controladores". La navegación entre eventos relacionados todavía se proporciona utilizando el proceso GUID además de los detalles del evento haciendo clic en el enlace FID

Además, la vista All Events admite la disposición de eventos similares a los pivotes (agrupación), por nombre de la máquina, tipo de evento u GUID, como se muestra a continuación

También son posibles múltiples niveles de agrupación

Sysmon Shell puede ayudar a escribir y aplicar configuraciones de Sysmon XML a través de una interfaz GUI simple.

Sysmon Shell también se puede utilizar para explorar las diversas opciones de configuración disponibles para Sysmon, aplicar y actualizar fácilmente la configuración XML, además de exportar registros de eventos Sysmon, en pocas palabras:

• Sysmon Shell puede cargar archivos de configuración de Sysmon XML: la versión actual es compatible con todos los esquemas de Sysmon. (La herramienta no carga ninguna configuración directamente desde el registro, solo desde archivos XML).
• Puede exportar/guardar el XML final en un archivo.
• Puede aplicar el archivo de configuración XML generado llamando directamente Sysmon.exe -c command (creando un archivo XML temporal en la misma carpeta donde se instala sysmon), por este motivo, si se utiliza esta función, Sysmon Shell requerirá privilegios elevados (la necesidad de esto se inherente a partir del proceso de Sysmon en sí), la salida de la aplicación de la configuración se mostrará en la visión previa (esto es el sysmon de la salida de Sysmon).
• La configuración XML se puede obtener previsualizando antes de guardar en el panel de vista previa
• La última pestaña (marcada "exportación de registros") puede ser útil para exportar rápidamente los registros de eventos Sysmon a XML, que luego se pueden usar con "Sysmon View" para el análisis de eventos, la exportación tiene tres opciones:
  • Solo exporta
  • Exportación y registro de eventos de Sysmon de exportación
  • Exportar, hacer una copia de seguridad del archivo EVTX y borrar el registro de eventos
• La utilidad tiene descripciones para todos los tipos de eventos tomados de la página de inicio de Sysmon Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
• Sysmon Shell viene incluido con muchas plantillas de configuración de Sysmon creadas por otros profesionales de la seguridad

Lo que no hará : advertirle sobre incluir/excluir conflictos o intentar validar las reglas en sí, sin embargo, una vez que se aplica la configuración, el panel de vista previa mostrará la salida capturada de sysmon.exe cuando se aplica la configuración (la salida del Sysmon -c command ), a partir del cual se pueden identificar errores

Sysmon Box es una pequeña utilidad que puede ayudar a construir una base de datos de Sysmon y tráfico de red capturado.

Para ejecutar el cuadro Sysmon, use el siguiente comando (Sysmon debe estar en funcionamiento junto con Tshark):

SysmonBox -in Wi-Fi

La herramienta llevará a cabo lo siguiente:

• Comience a capturar el tráfico (usando Tshark en segundo plano, es por eso que debe especificar la interfaz de captura), cuando esté hecho, presione CTRL + C para finalizar la sesión
• Sysmon Box luego detendrá la captura de tráfico, descargará todos los paquetes capturados a un archivo y exportará registros de Sysmon registrados entre la hora de inicio y finalización de la sesión utilizando la utilidad EVT
• Cree un archivo de base de datos Sysmon View (copia de seguridad de la copia de seguridad) con registros importados desde Sysmon y el tráfico capturado, todo lo que tiene que hacer es ejecutar Sysmon View desde la misma carpeta o colocar el archivo de la base de datos (SysmonviewDB) en la misma carpeta que Sysmon View (mantenga las capturas de paquetes en la misma ubicación)

• Puede leer más sobre Sysmon View & Sysmon Shell en mi blog https://nosecurecode.com/
• La siguiente es una buena descripción general sobre Sysmon y Sysmon Ver https://www.fwhibbit.es/sysmon-the-big-brother-of-windows-and-the-super-sysmonview

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.