SysmonTools
1.0.0
Bsuiness Partnersをお探しの詳細については、www.cyber-distance.comをご覧ください。
このリポジトリには次のものが含まれています。
Sysmonビューは、実行可能ファイル名、セッションガイド、イベント作成時間などの既存のイベントデータを使用して、さまざまなSysmonイベントを一緒にグループ化および相関させることにより、Sysmonログの追跡と視覚化に役立ちます。そのツールは、このデータを複数のビューに表示するためにこのデータを再配置します。
はじめる
開始するには、組み込みのwevtutilを使用してsysmonイベントをXMLファイルにエクスポートすると、このファイルはSysmonビューによって後でインポートされます。
WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml
エクスポートしたら、Sysmonビューを実行して生成されたファイル「Eventlog.xml」(または選択した名前)をインポートしてください。ログファイルのサイズに応じて、時間がかかる場合があることに注意してFile -> Load existing data (ファイルをインポートする必要があります。その後のsysmonビューの実行は、ファイルを再度インポートする必要はありません。
すべてのデータは、Sysmon View実行可能ファイルと同じ場所にあるSysmonViewDBという名前のSQLiteデータベースファイルにインポートされます。このファイルは、必要に応じて他のファイルと共有できます。sysmonビューと同じ場所にファイルを配置し、コマンドFile -> Load existing data 。
新しいXMLファイルがインポートされるたびに、データベースファイルが削除され、再作成されます。以前にインポートされたデータを保存するには、データベースファイルを別の場所にコピーするか、単に名前を変更します。
データベースは独自のアプリケーションでも直接使用できます。データベースには、ハッシュ、実行可能ファイル、IPアドレス、GEOマッピングの要約が含まれており、すべてがファイル名またはセッション(実行可能ガイド)を介して論理的にリンクされています。
たとえば、sysmonビューを必要とせずに任意のSQLite管理ソフトウェアを使用してデータベースファイルを直接クエリすることができます。たとえば、レポートを生成したり、データを分析したりできます。
Sysmonビュー
プロセスビューこのビューこのビューは、単に「実行セッション」の要約に焦点を当てるのに役立ちます。たとえば、アナリストは実行可能な名前(CMD.EXEなど)やイベントタイプ(ネットワークイベントなど)から始めることができます。たとえば、同じバイナリの発信セッションを見つけることができます。このビューでは、プロセスGUIDを使用してセッションごとのイベント「実行」をフィルタリングします。実行中のセッションを選択すると(GUIDのリストから)、イベントの時間を使用してソートされた単純なデータフローのようなビューで、他のすべての関連(相関)イベントが表示されます。注:データがシングルマシンの代わりにElasticSearchインスタンスからインポートされている場合、イベントはマシンごとに実行可能ファイルごとに配置できます - 以前のセクション「実験 - Sysmon View and Elasticsearch」を確認してください。
Sysmonイベントへのアクセスは、ビュー内のイベントをダブルクリックするだけで提供されます。たとえば、以前の画面キャプチャには、プロセス作成イベントの詳細(イベントID 1)が表示され、ツールはさらにハッシュおよびIPルックアップ(APIキー登録が必要です)の要求に応じてVirustotalと統合できます。
マップビュー:イベントのインポートプロセス中に、IPアドレスをジオロケートするオプションがあります。セットの場合、sysmonビューはhttps://ipstack.com/サービスを使用してネットワークの宛先をジオマップしようとします。
マップビューでは、ネットワークイベントを出発点として使用することにより、相関(関連)イベント間を簡単に移動することができます。再び、ツールは実行中のプロセスセッションGUIDを使用してこれを実現できます。関連するイベントを探索するには、セッションGUIDにハイパーリンクを使用して、プロセスビューに似た新しいビューが、関連するすべてのセッションイベントを備えた新しいウィンドウに表示されます。
すべてのイベントビューを使用して、Sysmon収集されたすべてのイベントデータを完全に検索することもできます。これは、「ドライバーロードされた」イベントタイプなど、他のイベントに関連しないイベントを表示するのにも役立ちます。関連するイベント間のナビゲーションは、FIDリンクをクリックすることにより、イベントの詳細に加えてプロセスGUIDを使用して引き続き提供されます
さらに、すべてのイベントビューは、以下に示すように、マシン名、イベントタイプ、またはGUIDごとに、イベントのピボットのような(グループ化)配置をサポートしています。
複数のグループ化レベルも可能です
Sysmonシェルは、単純なGUIインターフェイスを介してSysmon XML構成を書面および適用するのに役立ちます。
Sysmonシェルは、Sysmonが利用できるさまざまな構成オプションを探索するためにも使用でき、Sysmonイベントログのエクスポートに加えて、XML構成を簡単に適用および更新することもできます。
Sysmon.exe -c commandを直接呼び出すことで生成されたXML構成ファイルを適用できます(Sysmonがインストールされている同じフォルダーで一時的なXMLファイルを作成します)。このため、この機能を使用すると、Sysmonシェルには高度な特権が必要です(これのニーズはSysmonプロセス自体から継承されます)それがしないこと:競合を含める/除外するか、ルール自体を検証しようとすることについて警告しますが、構成が適用されると、プレビューペインは、構成が適用されたときにsysmon.exeからキャプチャされた出力を表示します( Sysmon -c commandの出力)。
Sysmon Boxは、キャプチャされたSysmonとネットワークトラフィックのデータベースを構築するのに役立つ小さなユーティリティです。
Sysmonボックスを実行するには、次のコマンドを使用します(SysmonはTsharkと一緒に稼働する必要があります):
SysmonBox -in Wi-Fi
その後、ツールは以下を実行します。
Copyright 2018 Nader Shallabi. All rights reserved.
SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.
THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.
