SysmonTools
1.0.0
BSUINESS 파트너를 찾고, 자세한 내용은 www.cyber-distance.com을 방문하십시오.
이 저장소에는 다음이 포함됩니다.
Sysmon View는 실행 파일 이름, 세션 안내, 이벤트 생성 시간 등과 같은 기존 이벤트 데이터를 사용하여 다양한 Sysmon 이벤트를 논리적으로 그룹화하고 상관시켜 Sysmon Logs를 추적하고 시각화하는 데 도움이됩니다. 그런 다음 도구는이 데이터를 여러 뷰로 다시 조절합니다.
시작하기
시작하려면 내장 된 WevTutil을 사용하여 Sysmon 이벤트를 XML 파일로 내보내면이 파일은 나중에 Sysmon View로 가져옵니다.
WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml
내보내면 Sysmon보기를 실행하고 생성 된 파일 "Eventlog.xml"(또는 선택한 이름)을 가져 오면 로그 파일의 크기에 따라 시간이 걸릴 수 있습니다 (파일을 한 번 가져와야하고 Sysmon 뷰의 후속 실행이 다시 가져와야합니다 File -> Load existing data 다시 가져올 필요는 없습니다.
모든 데이터는 Sysmon View Executable과 동일한 위치에있는 sysmonviewdb 라는 SQLITE 데이터베이스 파일로 가져 오게됩니다. 이 파일은 필요한 경우 다른 사람과 공유 할 수 있습니다. 파일을 Sysmon보기와 동일한 위치에 놓고 명령 File -> Load existing data 사용하십시오.
새 XML 파일이 가져올 때마다 데이터베이스 파일이 삭제되고 재창조됩니다. 이전에 가져온 데이터를 보존하려면 데이터베이스 파일을 다른 위치에 복사하거나 간단히 이름을 바꾸십시오.
데이터베이스는 자체 애플리케이션에서 직접 사용할 수 있으며 데이터베이스에는 해시, 실행 파일, IP 주소, GEO 매핑 요약이 포함되어 있으며 모두 파일 이름 또는 세션 (실행 가능한 안내)을 통해 논리적으로 연결됩니다.
예를 들어 Sysmon View없이 보고서를 생성하거나 데이터를 분석하지 않고 SQLITE Management 소프트웨어를 사용하여 데이터베이스 파일을 직접 쿼리 할 수 있습니다.
Sysmon Views
프로세스보기이 보기는 단순히 "실행 세션"요약에 중점을 둡니다. 예를 들어, 분석가는 실행 가능 이름 (예 : CMD.Exe) 또는 이벤트 유형 (예 : 네트워크 이벤트)으로 시작할 수 있습니다. 예를 들어 추가 필터링이 적용될 수 있지만, 동일한 이진에서 발생하는 실행 세션을 찾을 수 있습니다. 이보기는 세션 "run"당 프로세스 안내서에서 필터 이벤트를 사용하여, GUID 목록에서 실행중인 세션을 선택하면 이벤트 시간을 사용하여 간단한 데이터 흐름과 같은보기로 다른 모든 관련 (상관 관계) 이벤트가 표시됩니다. 참고 : 단일 시스템 대신 Elasticsearch 인스턴스에서 데이터를 가져 오는 경우 시스템 당 실행 파일 에 따라 이벤트를 배열 할 수 있습니다.
Sysmon 이벤트 세부 사항에 대한 액세스는보기에서 모든 이벤트를 두 번 클릭하여 제공됩니다. 예를 들어, 이전 화면 캡처는 프로세스 생성 이벤트의 세부 사항 (이벤트 ID 1)을 보여줍니다. 도구는 추가 해시 및 IP 조회에 대한 요청시 Virustotal과 통합 될 수 있습니다 (API 키 등록이 필요함).
지도보기 : 이벤트 가져 오기 프로세스 중에 IP 주소를 지리적으로 위치시키는 옵션이 있습니다. SET, SYSMON View는 https://ipstack.com/ service를 사용하여 네트워크 대상을 지리적으로 만들려고합니다.
Map View 에서는 네트워크 이벤트를 시작점으로 사용하여 상관 관계 (관련) 이벤트를 쉽게 탐색 할 수 있습니다. 관련 이벤트를 탐색하려면 세션 안내에 하이퍼 링크를 사용하면 프로세스 뷰 와 유사한 새로운보기가 모든 관련 세션 이벤트와 함께 새 창에 나타납니다.
모든 이벤트보기는 모든 Sysmon 수집 된 이벤트 데이터를 통해 전체 검색을 수행하는 데 사용될 수 있으며 "드라이버로드"이벤트 유형과 같은 다른 이벤트와 관련이없는 이벤트를 보는 데 도움이됩니다. 관련 이벤트 간의 탐색은 FID 링크를 클릭하여 이벤트 세부 사항 외에 프로세스 GUID를 사용하여 여전히 제공됩니다.
또한 All Events View는 아래와 같이 기계 이름, 이벤트 유형 또는 안내서에 의해 이벤트의 피벗과 같은 (그룹화) 배열을 지원합니다.
여러 그룹화 레벨도 가능합니다
Sysmon Shell은 간단한 GUI 인터페이스를 통해 Sysmon XML 구성을 서면 및 적용하는 데 도움이 될 수 있습니다.
Sysmon Shell은 Sysmon에 사용 가능한 다양한 구성 옵션을 탐색하는 데 사용될 수 있으며, Sysmon Events Logs를 내보내는 것 외에도 XML 구성을 쉽게 적용하고 업데이트 할 수 있습니다.
Sysmon.exe -c command 직접 호출하여 생성 된 XML 구성 파일을 적용 할 수 있습니다 (Sysmon이 설치된 동일한 폴더에서 임시 XML 파일 생성), 이러한 이유로이 기능이 사용되면 Sysmon Shell은 고상한 특권이 필요합니다 (Sysmon 프로세스 자체가 필요합니다). 하지 않는 일 : 충돌 포함/제외에 대해 경고하거나 규칙 자체를 검증하려고 시도하지만 구성이 적용되면 미리보기 창이 구성이 적용될 때 ( Sysmon -c command 의 출력)에서 캡처 된 출력을 표시합니다.
Sysmon Box는 캡처 된 Sysmon 및 네트워크 트래픽 데이터베이스를 구축하는 데 도움이되는 작은 유틸리티입니다.
Sysmon Box를 실행하려면 다음 명령을 사용하십시오 (Sysmon은 Tshark와 함께 가동되어야합니다) :
SysmonBox -in Wi-Fi
그런 다음 도구는 다음을 수행합니다.
Copyright 2018 Nader Shallabi. All rights reserved.
SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.
THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.
