SysmonTools

^{Procurando por parceiros BSUiness, visite www.cyber-distance.com para obter mais informações}

Este repositório contém o seguinte:

• Visualização do Sysmon: uma ferramenta off-line de visualização de log de sysmon.
• Sysmon Shell: um utilitário de configuração do Sysmon.
• Sysmon Box: um utilitário de log de captura de sysmon e rede.

• Notas de liberação
• Vista do Sysmon
• Sysmon shell
• Sysmon Box
• Recursos adicionais
• Licença

• Visualização do Sysmon: Versão 3.1 pode importar e correlacionar a captura de rastreio de rede com o evento de rede Sysmon
• Sysmon Box: New Command Line Utility para capturar os eventos do Sysmon e da rede (v1.0)
• Sysmon Shell: Adicionado um comando para atualizar arquivos de configuração para a v9.0 (solução temporária)

O Sysmon View ajuda a rastrear e visualizar os logs do Sysmon agrupando e correlacionando logicamente os vários eventos do Sysmon juntos, usando dados de eventos existentes, como nomes de executáveis, guias de sessão, tempo de criação de eventos etc., a ferramenta reorganiza esses dados para exibição em várias visualizações

Começando

Para começar, exporte os eventos do Sysmon para o arquivo XML usando o Wevtutil integrado, este arquivo será importado posteriormente pelo Sysmon View:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

Depois de exportado, execute o Sysmon View e importe o arquivo gerado "EventLog.xml" (ou o nome que você selecionou), observe que isso pode levar algum tempo, dependendo do tamanho do arquivo de log (o arquivo precisa ser importado, uma vez, File -> Load existing data os dados do Sysmon não requerem a importação dos dados.

Todos os dados serão importados para um arquivo de banco de dados SQLite chamado SysmonViewDB que reside no mesmo local que o Sysmon View Executável. Esse arquivo pode ser compartilhado com outras pessoas, se necessário, basta colocar o arquivo no mesmo local que a visualização do Sysmon e usar o File -> Load existing data .

Cada vez que um novo arquivo XML é importado, o arquivo de banco de dados será excluído e recriado. Para preservar quaisquer dados importados anteriormente, copie o arquivo de banco de dados para outro local ou simplesmente renomeie -os.

O banco de dados também pode ser usado diretamente em seus próprios aplicativos, o banco de dados contém resumos de hashes, executáveis, endereços IP, mapeamentos GEO e todos estão logicamente vinculados através de um nome de arquivo ou de uma sessão (executável GUID).

Você pode consultar o arquivo de banco de dados diretamente usando qualquer software de gerenciamento SQLite sem a necessidade de visualização do Sysmon, por exemplo, para gerar relatórios ou analisar dados

Visualizações do Sysmon

Visualização do processo Essa visualização simplesmente ajuda a se concentrar em um resumo de "Run Sessions", por exemplo, o analista pode começar com o nome executável (como cmd.exe) ou tipo de evento (como evento de rede), a partir daí, a filtragem adicional pode ser aplicada, por exemplo, encontrando sessões de execução originárias para o mesmo binário, mas de diferentes locais. Essa visualização utiliza o processo GUID para filtrar os eventos por sessão "Executar", a seleção de qualquer sessão em execução (na lista de GUIDS) mostrará todos os outros eventos relacionados (correlacionados) em uma visualização simples do tipo fluxo de dados, classificada usando a hora do evento. NOTA: Caso os dados estejam sendo importados a partir de uma instância do Elasticsearch, em vez de uma única máquina, os eventos podem ser organizados por executável por máquina - verifique seção anterior "Experimental - Sysmon View and Elasticsearch" ).

O acesso aos detalhes do evento Sysmon é fornecido simplesmente clicando duas vezes em qualquer evento na visualização, por exemplo, a captura de tela anterior mostra os detalhes do evento de criação de processos (ID do evento 1), a ferramenta também pode se integrar ao Virustotal na demanda para uma pesquisa de hash e IP (precisa de um registro de chave de API).

Visualização do mapa : Durante o processo de importação de eventos, existe uma opção para os endereços IP de localização geográfica, se definido, o Sysmon View tentará destinos de rede Geo-Map usando o serviço https://ipstack.com/.

Na visualização do mapa , é fácil navegar entre eventos correlacionados (relacionados) usando um evento de rede como ponto de partida, novamente, a ferramenta é capaz de conseguir isso usando o Guid de sessão de processo em execução. Para explorar eventos relacionados, use os hiperlinks para o GUID da sessão, uma nova visão semelhante à visualização do processo será exibida em uma nova janela com todos os eventos de sessão relacionados:

Todas as visualizações de eventos também podem ser usadas para fazer uma pesquisa completa em todos os dados de eventos coletados do Sysmon, também ajuda a visualizar eventos que não se relacionam com outros eventos, como o tipo de evento "carregado de driver". A navegação entre eventos relacionados ainda é fornecida usando o processo GUID, além dos detalhes do evento, clicando no link FID

Além disso, a visualização de todos os eventos suporta o arranjo de eventos do tipo Pivot (agrupamento), por nome da máquina, tipo de evento ou GUID, como mostrado abaixo

Vários níveis de agrupamento também são possíveis

O Sysmon Shell pode ajudar a escrever e aplicar configurações do Sysmon XML por meio de uma interface GUI simples.

O Sysmon Shell também pode ser usado para explorar as várias opções de configuração disponíveis no Sysmon, aplicar e atualizar facilmente a configuração XML, além de exportar logs de eventos do Sysmon, em poucas palavras:

• Sysmon Shell pode carregar arquivos de configuração do Sysmon XML: a versão atual suporta todos os esquemas do Sysmon. (A ferramenta não carrega nenhuma configuração diretamente do registro, apenas dos arquivos XML).
• Ele pode exportar/salvar o XML final para um arquivo.
• It can apply the generated XML configuration file by calling Sysmon.exe -c command directly (creating a temporary XML file in the same folder where Sysmon is installed), for this reason, if this feature is used, Sysmon Shell will require elevated privileges (the need for this is inherited from Sysmon process itself), the output of applying the configuration will be displayed in the preview pan (this is Sysmon generated output)
• A configuração XML pode ser visualizada antes de salvar no painel de visualização
• A última guia (marcada "Logs Export") pode ser útil para exportar rapidamente os registros de eventos do Sysmon para XML, que podem ser usados ​​posteriormente com "Sysmon View" para análise de eventos, a exportação tem três opções:
  • Exportar apenas
  • Exportar e limpar o registro de eventos do Sysmon
  • Exportar, fazer backup de arquivo EVTX e limpar o registro do evento
• O utilitário possui descrições para todos os tipos de eventos retirados da página inicial do Sysmon Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
• Sysmon Shell vem com muitos modelos de configuração do Sysmon criados por outros profissionais de segurança

O que ele não fará : avisá -lo incluir/excluir conflitos ou tentar validar as regras em si; no entanto, uma vez que a configuração for aplicada, o painel de visualização exibirá a saída capturada do sysmon.exe quando a configuração for aplicada (a saída do Sysmon -c command ), a partir do qual os erros podem ser identificados

O Sysmon Box é um pequeno utilitário que pode ajudar na construção de um banco de dados de Sysmon capturado e tráfego de rede.

Para executar o Sysmon Box, use o seguinte comando (o Sysmon precisa estar em funcionamento junto com o TShark):

SysmonBox -in Wi-Fi

A ferramenta então realizará o seguinte:

• Comece a capturar o tráfego (usando o TShark em segundo plano, é por isso que você deve especificar a interface de captura), quando terminar, pressione Ctrl + C para encerrar a sessão
• A Sysmon Box impedirá a captura de tráfego, despeje todos os pacotes capturados em um arquivo e exportar logs do Sysmon registrados entre o horário inicial e o término da sessão usando o Utilitário EVT
• Construa um arquivo de banco de dados Sysmon View (backup existente) com logs importados do sysmon e tráfego capturado, tudo o que você precisa fazer é executar o Sysmon View da mesma pasta ou colocar o arquivo de banco de dados (sysmonViewDB) na mesma pasta que a visualização do sysmon (mantenha a captura do pacote no mesmo local)

• Você pode ler mais sobre o Sysmon View & Sysmon Shell no meu blog https://nosecurecode.com/
• A seguir, é apresentada uma boa visão geral sobre o Sysmon e o Sysmon View https://www.fwhibbit.es/sysmon-the-big-brother-of-windows-and-the-super-sysmonview

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.