sysmon config

これは、デフォルトの高品質のイベントトレースを備えたMicrosoft sysinternals sysmon構成ファイルテンプレートです。

ファイルは、自己完結型でアクセス可能なパッケージでのシステム変更監視のための優れた出発点として機能する必要があります。この構成と結果は、Sysmonが何が可能かについて良いアイデアを提供するはずです。これは、インシデント調査にも不可欠な認証やその他のWindowsイベントなどを追跡しないことに注意してください。

sysmonconfig-export.xml

ほぼすべての行がコメントされており、セクションに説明が付いているため、Sysmonのチュートリアルとして、およびWindowsシステムの重要な監視領域のガイドとしても機能する必要があります。

• 別のアプローチからのSysmon構成に対するはるかに網羅的かつ詳細なアプローチについては、Sysmon-Configのスーパーセットとして機能する@olafhartongのSysmon-Modularも参照してください。

• Sysmonは、ネイティブのWindowsロギング能力を補完するものであり、代替品ではありません。これらの構成に関する貴重なアドバイスについては、@hackerhurricaneによるMalwarearchaeologyロギングチートシートを参照してください。

注：構成内の正確な構文とフィルタリングの選択は、ターゲットをターゲットにしており、パフォーマンスへの影響がほとんどないことを非常に意図的にしています。 Sysmonのフィルタリング能力は、組み込みのWindows監査機能とは異なるため、多くの場合、パスの通常の静的リストとは異なるアプローチが採用されます。

この構成の他のフォークを参照してください

管理者の権利で実行します

 sysmon.exe -accepteula -i sysmonconfig-export.xml

管理者の権利で実行します

 sysmon.exe -c sysmonconfig-export.xml

管理者の権利で実行します

 sysmon.exe -u

Notepad ++を使用してこの構成を編集することを強くお勧めします。 Unix Newline形式を理解し、XML構文の強調表示を行い、これを非常に理解しやすくします。内蔵のnotepad.exeを使用することはお勧めしません。

広く展開する前に、自分の環境に構成の結果をインストールして観察する必要があります。たとえば、アンチウイルスのアクションを除外する必要があります。これは、それ以外の場合はログに役に立たない情報で満たされる可能性があります。

この構成は、この環境へのこのカスタマイズを支援するために自明であるように高度にコメントされ、設計されています。

この構成では、ソフトウェアがC： Usersフォルダーではなく、システム全体にインストールされることを期待しています。さまざまなソフトウェアがユーザーディレクトリにインストールされており、追加の監視の対象となります。可能であれば、Chromeなどのこれらのソフトウェアのシステム全体のバージョンをインストールする必要があります。詳細については、構成ファイルを参照してください。