sysmon config

Ini adalah templat file konfigurasi Sysinternals Syson Microsoft dengan penelusuran acara berkualitas tinggi default.

File harus berfungsi sebagai titik awal yang bagus untuk pemantauan perubahan sistem dalam paket mandiri dan dapat diakses. Konfigurasi dan hasil ini harus memberi Anda ide bagus tentang apa yang mungkin untuk Sysmon. Perhatikan bahwa ini tidak melacak hal -hal seperti otentikasi dan acara Windows lainnya yang juga penting untuk penyelidikan insiden.

sysmonconfig-export.xml

Karena hampir setiap baris dikomentari dan bagian ditandai dengan penjelasan, itu juga harus berfungsi sebagai tutorial untuk Sysmon dan panduan untuk area pemantauan kritis dalam sistem Windows.

• Untuk pendekatan yang jauh lebih lengkap dan terperinci untuk konfigurasi sysmon dari pendekatan yang berbeda, lihat juga Sysmon-Modular oleh @OLAFHARTONG, yang dapat bertindak sebagai superset Sysmon-Config.

• Sysmon adalah pujian untuk kemampuan penebangan windows asli, bukan pengganti untuk itu. Untuk saran yang berharga tentang konfigurasi ini, lihat Malwarearchaeology Logging Cheat Sheets oleh @Hackerhurricane.

Catatan: Sintaks yang tepat dan pilihan penyaringan dalam konfigurasi sangat disengaja dalam apa yang mereka targetkan, dan memiliki dampak kinerja sesedikit mungkin. Kemampuan penyaringan Sysmon berbeda dari fitur audit Windows bawaan, sehingga seringkali pendekatan yang berbeda diambil dari daftar statis yang normal.

Lihat garpu lain dari konfigurasi ini

Jalankan dengan Hak Administrator

 sysmon.exe -accepteula -i sysmonconfig-export.xml

Jalankan dengan Hak Administrator

 sysmon.exe -c sysmonconfig-export.xml

Jalankan dengan Hak Administrator

 sysmon.exe -u

Sangat merekomendasikan menggunakan Notepad ++ untuk mengedit konfigurasi ini. Ini memahami format Newline UNIX dan melakukan penyorotan sintaks XML, yang membuat ini sangat dapat dimengerti. Saya tidak merekomendasikan menggunakan notepad.exe bawaan.

Anda perlu menginstal dan mengamati hasil konfigurasi di lingkungan Anda sendiri sebelum menggunakannya secara luas. Misalnya, Anda perlu mengecualikan tindakan antivirus Anda, yang kemungkinan besar akan mengisi log Anda dengan informasi yang tidak berguna.

Konfigurasi ini sangat dikomentari dan dirancang untuk menjadi jelas untuk membantu Anda dalam kustomisasi ini ke lingkungan Anda.

Konfigurasi ini mengharapkan perangkat lunak yang diinstal di seluruh sistem dan tidak di folder C: Users. Berbagai bagian perangkat lunak menginstal diri mereka di direktori pengguna, yang tunduk pada pemantauan tambahan. Jika memungkinkan, Anda harus menginstal versi seluruh sistem dari perangkat lunak ini, seperti Chrome. Lihat file konfigurasi untuk lebih banyak instruksi.