SysmonTools

^{Mencari mitra bsuines, silakan kunjungi www.cyber-distance.com untuk informasi lebih lanjut}

Repositori ini berisi yang berikut:

• Tampilan Sysmon: Alat visualisasi log Sysmon off-line.
• Sysmon Shell: Utilitas Konfigurasi Sysmon.
• Kotak Sysmon: Sysmon dan jaringan penangkapan jaringan utilitas.

• Catatan Rilis
• Tampilan Sysmon
• Sysmon Shell
• Kotak Sysmon
• Sumber daya tambahan
• Lisensi

• Sysmon View: Versi 3.1 dapat mengimpor dan mengkorelasikan penangkapan jejak jaringan dengan Sysmon Network Event
• Kotak Sysmon: Utilitas Baris Perintah Baru Untuk Menangkap Sysmon dan Acara Jaringan (v1.0)
• Sysmon Shell: Menambahkan perintah untuk meningkatkan file konfigurasi ke v9.0 (solusi sementara)

Sysmon View membantu dalam melacak dan memvisualisasikan log SYSMON dengan secara logis mengelompokkan dan mengkorelasikan berbagai acara Sysmon bersama-sama, menggunakan data acara yang ada, seperti nama yang dapat dieksekusi, panduan sesi, waktu pembuatan acara, dll., Alat tersebut kemudian mengatur ulang data ini untuk ditampilkan ke berbagai tampilan

Memulai

Untuk memulai, Ekspor Acara Sysmon ke file XML menggunakan Wevtutil bawaan, file ini akan diimpor nanti oleh Sysmon View:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

Setelah diekspor, jalankan Sysmon View dan impor file yang dihasilkan "EventLog.xml" (atau nama yang Anda pilih), harap dicatat bahwa ini mungkin memakan waktu, tergantung pada ukuran file log (file perlu diimpor sekali, menjalankan Data Sysmon tidak memerlukan pengimpor lagi, cukup gunakan file menu File -> Load existing data sebelumnya.

Semua data akan diimpor ke file database SQLite bernama SysMonViewDB yang berada di lokasi yang sama dengan Sysmon View Executable. File ini dapat dibagikan dengan orang lain jika diperlukan, cukup tempatkan file di lokasi yang sama dengan tampilan Sysmon dan gunakan File -> Load existing data .

Setiap kali file XML baru diimpor, file database akan dihapus dan diciptakan kembali. Untuk melestarikan data yang diimpor sebelumnya, salin file database ke lokasi lain atau cukup ganti nama.

Basis data dapat digunakan secara langsung di aplikasi Anda sendiri juga, database berisi ringkasan hash, executable, alamat IP, pemetaan geo dan semua secara logis ditautkan melalui nama file atau sesi (Guid yang dapat dieksekusi).

Anda dapat meminta file database secara langsung menggunakan perangkat lunak manajemen SQLite tanpa perlu tampilan Sysmon, misalnya, untuk menghasilkan laporan atau menganalisis data

Tampilan Sysmon

Tampilan Proses Pandangan ini hanya membantu fokus pada ringkasan "Sesi Jalankan", misalnya, analis dapat dimulai dengan nama yang dapat dieksekusi (seperti CMD.exe) atau jenis acara (seperti acara jaringan), dari sana, penyaringan lebih lanjut dapat diterapkan, misalnya, menemukan sesi berjalan yang berasal dari biner yang sama, tetapi dari lokasi yang berbeda. Tampilan ini menggunakan Guid Proses untuk memfilter acara per sesi "Run", memilih sesi berjalan apa pun (dari daftar GUID) akan menampilkan semua acara terkait (berkorelasi) lainnya dalam tampilan seperti aliran data sederhana, diurutkan menggunakan waktu acara. Catatan: Dalam hal data sedang diimpor dari instance Elasticsearch alih -alih mesin tunggal, acara dapat diatur per execute per mesin - periksa bagian sebelumnya "Eksperimental - Sysmon View and Elasticsearch" ).

Access to Sysmon Event Rincian disediakan dengan cukup mengklik dua kali acara apa pun dalam tampilan, misalnya, tangkapan layar sebelumnya menunjukkan rincian acara pembuatan proses (Event ID 1), alat ini juga dapat berintegrasi dengan Virustotal berdasarkan permintaan untuk hash dan pencarian IP lebih lanjut (membutuhkan pendaftaran kunci API).

Tampilan peta : Selama proses impor acara, ada opsi untuk geo-lokasi alamat IP, jika diatur, Sysmon View akan mencoba untuk tujuan jaringan geo-map menggunakan https://ipstack.com/ layanan.

Dalam tampilan peta , mudah untuk dinavigasi antara peristiwa yang berkorelasi (terkait) dengan menggunakan acara jaringan sebagai titik awal, sekali lagi, alat ini dapat mencapai ini menggunakan Guid Sesi Proses Berlari. Untuk menjelajahi acara terkait, gunakan hyperlink untuk GUID Sesi, tampilan baru yang mirip dengan Tampilan Proses akan muncul di jendela baru dengan semua acara sesi terkait:

Semua tampilan acara juga dapat digunakan untuk melakukan pencarian penuh melalui semua data Sysmon Collected Events, ini juga membantu dalam melihat acara yang tidak berhubungan dengan acara lain, seperti jenis acara "driver dimuat". Navigasi Antara Acara Terkait Masih Disediakan Menggunakan Guid Proses Selain detail acara dengan mengklik tautan FID

Selain itu, All Event View mendukung pengaturan acara seperti pivot (pengelompokan), berdasarkan nama mesin, jenis acara atau guid, seperti yang ditunjukkan di bawah ini

Beberapa level pengelompokan juga dimungkinkan

Sysmon Shell dapat membantu secara tertulis dan menerapkan konfigurasi SYSMON XML melalui antarmuka GUI sederhana.

Sysmon Shell juga dapat digunakan untuk mengeksplorasi berbagai opsi konfigurasi yang tersedia untuk Sysmon, dengan mudah menerapkan dan memperbarui konfigurasi XML, selain mengekspor log peristiwa sysmon, singkatnya:

• Sysmon Shell dapat memuat file konfigurasi SYSMON XML: Versi saat ini mendukung semua skema Sysmon. (Alat ini tidak memuat konfigurasi apa pun langsung dari registri, hanya dari file XML).
• Itu dapat mengekspor/menyimpan XML terakhir ke file.
• Ini dapat menerapkan file konfigurasi XML yang dihasilkan dengan memanggil Sysmon.exe -c command secara langsung (membuat file XML sementara di folder yang sama di mana sysmon diinstal), untuk alasan ini, jika fitur ini digunakan, Sysmon shell akan memerlukan hak istimewa yang ditampilkan (kebutuhan ini diwarisi dari proses Sysmon sendiri), output dari penerapan konfigurasi akan dipajang di Sysmon ini), output dari Applioning akan ditampilkan di Sysmon), output dari Applioning.
• Konfigurasi XML dapat dipratinjau sebelum disimpan di panel pratinjau
• Tab terakhir (bertanda "Log Ekspor") mungkin menjadi berguna untuk dengan cepat mengekspor Log Acara Sysmon ke XML, yang kemudian dapat digunakan dengan "Sysmon View" untuk analisis acara, ekspor memiliki tiga opsi:
  • Hanya ekspor
  • Ekspor dan Bersihkan Log Acara Sysmon
  • Ekspor, Cadangkan File EVTX dan Bersihkan Log Acara
• Utilitas memiliki deskripsi untuk semua jenis acara yang diambil dari halaman beranda Sysmon Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
• Sysmon Shell Datang Dibundel dengan Banyak Templat Konfigurasi Sysmon Dibuat oleh Profesional Keamanan Lainnya

Apa yang tidak akan dilakukannya : Peringatkan Anda tentang memasukkan/mengecualikan konflik atau upaya untuk memvalidasi aturan itu sendiri, namun, setelah konfigurasi diterapkan, panel pratinjau akan menampilkan output yang ditangkap dari Sysmon.exe ketika konfigurasi diterapkan (output dari Sysmon -c command ), dari mana kesalahan dapat diidentifikasi

Sysmon Box adalah utilitas kecil yang dapat membantu membangun database Sysmon dan lalu lintas jaringan yang ditangkap.

Untuk menjalankan kotak Sysmon, gunakan perintah berikut (Sysmon harus naik dan berjalan bersama dengan Tshark):

SysmonBox -in Wi-Fi

Alat kemudian akan melakukan yang berikut:

• Mulailah menangkap lalu lintas (menggunakan tshark di latar belakang, inilah sebabnya Anda harus menentukan antarmuka penangkapan), ketika selesai, tekan Ctrl + C untuk mengakhiri sesi
• Kotak Sysmon kemudian akan menghentikan penangkapan lalu lintas, membuang semua paket yang ditangkap ke file dan mengekspor log sysmon yang direkam antara waktu start dan akhir sesi menggunakan EVT Utility
• Bangun file Database Sysmon View (Cadangan yang ada) dengan log yang diimpor dari Sysmon dan lalu lintas yang diambil, yang harus Anda lakukan adalah menjalankan tampilan Sysmon dari folder yang sama atau meletakkan file database (SysviewiewDB) di folder yang sama dengan tampilan Sysmon (simpan paket tertangkap di lokasi di lokasi yang sama)

• Anda dapat membaca lebih lanjut tentang Sysmon View & Sysmon Shell di blog saya https://nosecurecode.com/
• Berikut ini adalah tinjauan yang baik tentang Sysmon dan Sysmon View https://www.fwhibbit.es/sysmon-the-big-froth-of-of-dindows-and-te-super-syview

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.