sysmon config

이것은 기본 고품질 이벤트 추적이있는 Microsoft Sysinnternals Sysmon Configuration 파일 템플릿입니다.

이 파일은 자체 포함 및 액세스 가능 패키지에서 시스템 변경 모니터링을위한 훌륭한 출발점으로 작동해야합니다. 이 구성과 결과는 Sysmon이 무엇을 가능한지에 대한 좋은 아이디어를 제공해야합니다. 이것은 인증 및 사고 조사에도 중요한 기타 Windows 이벤트와 같은 것을 추적하지 않습니다.

sysmonconfig-export.xml

사실상 모든 라인에 주석이 표시되고 섹션에는 설명이 표시되므로 Sysmon의 자습서 및 Windows 시스템의 중요한 모니터링 영역에 대한 안내서 역할을해야합니다.

• 다른 접근 방식의 Sysmon 구성에 대한 훨씬 더 철저하고 상세한 접근 방식은 Sysmon-Config의 슈퍼 세트 역할을 할 수있는 @olafhartong의 Sysmon-Modular를 참조하십시오.

• Sysmon은 기본 Windows 벌목 능력에 대한 칭찬이며 대체품이 아닙니다. 이러한 구성에 대한 귀중한 조언은 @HackerHurricane의 Malwarearchaeology 로깅 치트 시트를 참조하십시오.

참고 : 구성에서 정확한 구문 및 필터링 선택은 목표에 대해 매우 신중하며 가능한 한 성능에 영향을 미치지 않습니다. Sysmon의 필터링 기능은 내장 된 Windows 감사 기능과 다르므로 종종 정상적인 정적 경로 목록과 다른 접근 방식이 취해집니다.

이 구성의 다른 포크를 참조하십시오

관리자 권리와 함께 실행하십시오

 sysmon.exe -accepteula -i sysmonconfig-export.xml

관리자 권리와 함께 실행하십시오

 sysmon.exe -c sysmonconfig-export.xml

관리자 권리와 함께 실행하십시오

 sysmon.exe -u

메모장 ++를 사용 하여이 구성을 편집하는 것이 좋습니다. Unix Newline 형식을 이해하고 XML 구문 강조 표시를 수행하므로 이해하기 쉽습니다. 내장 메모장을 사용하지 않는 것이 좋습니다.

광범위하게 배포하기 전에 자신의 환경에서 구성 결과를 설치하고 관찰해야합니다. 예를 들어, 안티 바이러스의 조치를 제외해야하며, 그렇지 않으면 쓸모없는 정보로 로그를 채울 수 있습니다.

이 구성은 귀하의 환경에 대한이 사용자 정의를 도와주기 위해 자체 설명하기 위해 고도로 댓글을 달고 설계되었습니다.

이 구성은 소프트웨어가 C : 사용자 폴더가 아닌 시스템 전체에 설치 될 것으로 기대합니다. 다양한 소프트웨어가 사용자 디렉토리에 자체적으로 설치되며 추가 모니터링이 적용됩니다. 가능한 경우 Chrome과 같은 이러한 소프트웨어의 시스템 전체 버전을 설치해야합니다. 더 많은 지침은 구성 파일을 참조하십시오.