SysmonTools

^{À la recherche de partenaires de BSUinss, veuillez visiter www.cyber-stance.com pour plus d'informations}

Ce référentiel contient ce qui suit:

• Vue sysmon: un outil de visualisation du journal sysmon hors ligne.
• Shell Sysmon: une utilitaire de configuration sysmon.
• Boîte sysmon: un utilitaire de journalisation de la capture de sysmon et de réseau.

• Notes de libération
• Vue sysmon
• Coquille sysmon
• Boîte sysmon
• Ressources supplémentaires
• Licence

• Vue sysmon: la version 3.1 peut importer et corréler la capture de trace du réseau avec l'événement de réseau sysmon
• Boîte sysmon: nouvel utilitaire de ligne de commande pour capturer les événements sysmon et réseau (v1.0)
• Shell Shell: Ajout d'une commande pour mettre à niveau les fichiers de configuration en V9.0 (solution temporaire)

Sysmon View aide à suivre et à visualiser les journaux sysmon en regroupant logiquement et en corrélant les différents événements sysmon ensemble, en utilisant des données d'événements existantes, telles que les noms exécutables, les guides de session, le temps de création d'événements, etc., l'outil réorganise ensuite ces données pour l'affichage en plusieurs vues

Commencer

Pour commencer, exportez les événements sysmon vers le fichier XML à l'aide du wevtutil intégré, ce fichier sera importé plus tard par Sysmon View:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

Une fois exporté, exécutez Sysmon Afficher et importez le fichier généré «EventLog.xml» (ou le nom que vous avez sélectionné), veuillez noter que cela pourrait prendre un certain temps, en fonction de la taille du fichier journal (le fichier doit être importé une fois, les exécutions ultérieures de la vue Sysmon ne nécessitent pas d'importer à nouveau les données, il suffit d'utiliser le File -> Load existing data pour charger à nouveau les données importées précédemment).

Toutes les données seront importées dans un fichier de base de données SQLite nommé SysmonViewDB qui réside dans le même emplacement que Sysmon View Exécutable. Ce fichier peut être partagé avec d'autres si nécessaire, placez simplement le fichier au même emplacement que la vue sysmon et utilisez le File -> Load existing data .

Chaque fois qu'un nouveau fichier XML est importé, le fichier de base de données sera supprimé et recréé. Pour préserver toutes les données importées précédemment, copiez le fichier de base de données dans un autre emplacement ou renommez-le simplement.

La base de données peut également être utilisée directement dans vos propres applications.

Vous pouvez interroger le fichier de base de données directement à l'aide de tout logiciel de gestion SQLite sans avoir besoin de vue sysmon, par exemple, pour générer des rapports ou analyser des données

Vues sysmon

La vue de processus Cette vue aide simplement à se concentrer sur un résumé des "sessions d'exécution", par exemple, l'analyste peut commencer par le nom exécutable (tel que cmd.exe) ou le type d'événement (tel que l'événement réseau), à partir de là, un filtrage supplémentaire peut être appliqué, par exemple, la recherche de sessions d'exécution originaires du même binaire, mais à partir de différents emplacements. Cette vue utilise le procédé GUID pour filtrer les événements par session "Exécuter", la sélection de toute session en cours (dans la liste des GUID) affichera tous les autres événements connexes (corrélés) dans une simple vue de type Data-Flow, triée en utilisant le moment de l'événement. Remarque: Dans le cas où les données sont importées à partir d'une instance Elasticsearch au lieu d'une seule machine, les événements peuvent être organisés par exécutable par machine - vérifiez la section précédente "Experimental - Sysmon View and Elasticsearch" ).

L'accès aux détails de l'événement Sysmon est fourni en double-cliquez simplement sur tout événement dans la vue, par exemple, la capture d'écran précédente montre les détails de l'événement de création de processus (ID de l'événement 1), l'outil peut également s'intégrer à Virustotal à la demande pour une recherche supplémentaire de hachage et de propriété intellectuelle (nécessite un enregistrement clé de l'API).

Vue de cartes : Pendant le processus d'importation des événements, il existe une option pour les adresses IP Geo-Locative, si définie, Sysmon View essaiera des destinations de réseau Geo-Map à l'aide du service https://ipstack.com/.

Dans Map View , il est facile de naviguer entre les événements corrélés (associés) en utilisant un événement réseau comme point de départ, encore une fois, l'outil est capable d'y parvenir en utilisant le Guid de session de processus en cours d'exécution. Pour explorer les événements connexes, utilisez les hyperliens pour le GUID de session, une nouvelle vue similaire à la vue de processus apparaîtra dans une nouvelle fenêtre avec tous les événements de session connexes:

All Events View peut également être utilisé pour effectuer une recherche complète via toutes les données des événements collectés par Sysmon, il aide également à consulter les événements qui ne se rapportent pas à d'autres événements, tels que le type d'événement "ChildEd". La navigation entre les événements connexes est toujours fournie en utilisant le procédé Guide en plus des détails de l'événement en cliquant sur le lien FID

De plus, la vue sur tous les événements prend en charge la disposition des événements de type pivot (groupement), par nom de machine, type d'événement ou GUID, comme indiqué ci-dessous

Des niveaux de regroupement multiples sont également possibles

Sysmon Shell peut aider à l'écriture et à l'application de configurations Sysmon XML via une interface GUI simple.

Sysmon Shell peut également être utilisé pour explorer les différentes options de configuration disponibles pour Sysmon, appliquer facilement et mettre à jour la configuration XML, en plus d'exporter des journaux d'événements Sysmon, en un mot:

• Sysmon Shell peut charger des fichiers de configuration Sysmon XML: la version actuelle prend en charge tous les schémas sysmon. (L'outil ne charge aucune configuration directement à partir du registre, uniquement à partir des fichiers XML).
• Il peut exporter / enregistrer le XML final dans un fichier.
• Il peut appliquer le fichier de configuration XML généré en appelant directement Sysmon.exe -c command (créant un fichier XML temporaire dans le même dossier où Sysmon est installé), pour cette raison, si cette fonctionnalité est utilisée, Sysmon Shell nécessitera une augmentation des privilèges (le besoin de ceci est héréditaire à partir du processus Sysmon lui-même), la sortie de la configuration) sera affichée dans le panel d'attribution (ceci est SythE Geate)
• La configuration XML peut être prévisualisée avant d'enregistrer dans le volet d'aperçu
• Le dernier onglet (marqué "Logs Export") pourrait devenir pratique pour exporter rapidement les journaux d'événements Sysmon vers XML, qui peuvent être utilisés plus tard avec "Sysmon View" pour l'analyse des événements, l'exportation a trois options:
  • Exporter uniquement
  • Journal d'événements d'exportation et d'effondrement du sysmon
  • Exporter, sauvegarder le fichier EVTX et effacer le journal des événements
• L'utilitaire a des descriptions pour tous les types d'événements tirés de la page d'accueil de Sysmon Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
• Sysmon Shell est livré avec de nombreux modèles de configuration sysmon créés par d'autres professionnels de la sécurité

Ce qu'il ne fera pas : vous avertissez d'inclure / exclure les conflits ou tenter de valider les règles elle-même, cependant, une fois la configuration appliquée, le volet d'aperçu affichera la sortie capturée à partir de sysmon.exe lorsque la configuration est appliquée (la sortie de Sysmon -c command ), à partir de laquelle les erreurs peuvent être identifiées

Sysmon Box est un petit utilitaire qui peut aider à construire une base de données de trafic Sysmon capturé et réseau.

Pour exécuter Sysmon Box, utilisez la commande suivante (Sysmon doit être opérationnel avec Tshark):

SysmonBox -in Wi-Fi

L'outil réalisera alors ce qui suit:

• Commencez à capturer le trafic (en utilisant Tshark en arrière-plan, c'est pourquoi vous devez spécifier l'interface de capture), une fois terminé, appuyez sur Ctrl + C pour mettre fin à la session
• Sysmon Box arrêtera ensuite la capture du trafic, vide tous les paquets capturés dans un fichier et exportera les journaux sysmon enregistrés entre le début et la fin de la session à l'aide de l'utilitaire EVT
• Créez un fichier de données Sysmon View (Sauvegarde existant) avec des journaux importés de Sysmon et du trafic capturé, tout ce que vous avez à faire est d'exécuter Sysmon View à partir du même dossier ou de mettre le fichier de base de données (SysmonViewDB) dans le même dossier que Sysmon View (conserver les captures de paquets au même endroit)

• Vous pouvez en savoir plus sur Sysmon View & Sysmon Shell sur mon blog https://nosecureCode.com/
• Ce qui suit est un bon aperçu de Sysmon et Sysmon View https://www.fwhibbit.es/sysmon-the-big-brother-ofows-and-the-sper-sysmonview

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.