sysmon config

Il s'agit d'un modèle de fichier de configuration Sysin Microsoft Sysinnals avec traçage d'événements de haute qualité par défaut.

Le fichier doit fonctionner comme un excellent point de départ pour la surveillance des modifications du système dans un package autonome et accessible. Cette configuration et ses résultats devraient vous donner une bonne idée de ce qui est possible pour Sysmon. Notez que cela ne suit pas des choses comme l'authentification et d'autres événements Windows qui sont également vitaux pour l'enquête sur les incidents.

sysmonconfig-export.xml

Étant donné que pratiquement chaque ligne est commentée et que les sections sont marquées d'explications, elle devrait également fonctionner comme un tutoriel pour Sysmon et un guide des zones de surveillance critiques dans les systèmes Windows.

• Pour une approche beaucoup plus exhaustive et détaillée de la configuration sysmon à partir d'une approche différente, voir également sysmon-modulaire par @olafhartong, qui peut agir comme un superset de Sysmon-Config.

• Sysmon est un compliment aux capacités de journalisation des fenêtres natives, pas un remplacement. Pour des conseils précieux sur ces configurations, voir les feuilles de triche de malwarearchaeology par @hackerhurricane.

Remarque: les choix de syntaxe et de filtrage exacts dans la configuration sont très délibérés dans ce qu'ils ciblent et ont le moins d'impact de performance possible. Les capacités de filtrage de Sysmon sont différentes des fonctionnalités d'audit des fenêtres intégrées, donc souvent une approche différente est adoptée que la liste statique normale des chemins.

Voir d'autres fourches de cette configuration

Exécuter avec les droits de l'administrateur

 sysmon.exe -accepteula -i sysmonconfig-export.xml

Exécuter avec les droits de l'administrateur

 sysmon.exe -c sysmonconfig-export.xml

Exécuter avec les droits de l'administrateur

 sysmon.exe -u

Je recommande vivement d'utiliser Notepad ++ pour modifier cette configuration. Il comprend le format UNIX Newline et fait la mise en évidence de la syntaxe XML, ce qui rend cela très compréhensible. Je ne recommande pas d'utiliser le notepad.exe intégré.

Vous devrez installer et observer les résultats de la configuration dans votre propre environnement avant de le déployer largement. Par exemple, vous devrez exclure les actions de votre antivirus, ce qui remplira autrement vos journaux d'informations inutiles.

La configuration est hautement commentée et conçue pour être explicite pour vous aider dans cette personnalisation dans votre environnement.

Cette configuration s'attend à ce que le logiciel soit installé à l'échelle du système et non dans le dossier C: Users. Divers logiciels s'installent dans les répertoires d'utilisateurs, qui sont soumis à une surveillance supplémentaire. Dans la mesure du possible, vous devez installer la version à l'échelle du système de ces logiciels, comme Chrome. Voir le fichier de configuration pour plus d'instructions.