sysmon config

Este é um modelo de arquivo de configuração do Sysmon Microsoft Sysinternals com rastreamento de eventos de alta qualidade padrão.

O arquivo deve funcionar como um ótimo ponto de partida para o monitoramento de alterações do sistema em um pacote independente e acessível. Essa configuração e resultados devem dar uma boa idéia do que é possível para o Sysmon. Observe que isso não rastreia coisas como autenticação e outros eventos do Windows que também são vitais para a investigação de incidentes.

sysmonConfig-export.xml

Como praticamente todas as linhas são comentadas e as seções são marcadas com explicações, ela também deve funcionar como um tutorial para o Sysmon e um guia para áreas críticas de monitoramento nos sistemas Windows.

• Para uma abordagem muito mais exaustiva e detalhada da configuração do Sysmon a partir de uma abordagem diferente, consulte também o Sysmon-Modular por @olafhartong, que pode atuar como um superconjunto do Sysmon-Config.

• O Sysmon é um elogio às habilidades de registro nativas do Windows, não um substituto para isso. Para obter conselhos valiosos sobre essas configurações, consulte Malwarearchaeology Logging Cheets de @HackerHurricane.

Nota: A sintaxe exata e as opções de filtragem na configuração são altamente deliberadas no que elas têm como alvo e ter o mínimo de impacto do desempenho possível. As habilidades de filtragem do Sysmon são diferentes dos recursos de auditoria do Windows embutidos, muitas vezes é adotada uma abordagem diferente da lista estática normal de caminhos.

Veja outros garfos desta configuração

Corra com direitos de administrador

 sysmon.exe -accepteula -i sysmonconfig-export.xml

Corra com direitos de administrador

 sysmon.exe -c sysmonconfig-export.xml

Corra com direitos de administrador

 sysmon.exe -u

Recomendo usar o NotPad ++ para editar esta configuração. Ele entende o formato da UNIX Newline e faz o destaque da sintaxe XML, o que torna isso muito compreensível. Não recomendo usar o bloco de notas.exe embutido.

Você precisará instalar e observar os resultados da configuração em seu próprio ambiente antes de implantá -lo amplamente. Por exemplo, você precisará excluir ações do seu antivírus, que provavelmente preencherão seus logs com informações inúteis.

A configuração é altamente comentada e projetada para ser auto-explicativa para ajudá-lo nessa personalização em seu ambiente.

Essa configuração espera que o software seja instalado em todo o sistema e não na pasta C: Usuários. Várias peças de software se instalam nos diretórios do usuário, que estão sujeitos a monitoramento extra. Sempre que possível, você deve instalar a versão em todo o sistema desses softwares, como o Chrome. Consulte o arquivo de configuração para obter mais instruções.