sysmon config
1.0.0
Это шаблон файла файла настройки Sysmon Microsoft Sysinternals с высококачественным трассировкой событий по умолчанию.
Файл должен функционировать как отличная отправная точка для мониторинга изменения системы в автономном и доступном пакете. Эта конфигурация и результаты должны дать вам хорошее представление о том, что возможно для Sysmon. Обратите внимание, что это не отслеживает такие вещи, как аутентификация и другие события Windows, которые также жизненно важны для расследования инцидентов.
sysmonconfig-export.xml
Поскольку практически каждая строка комментируется, а разделы отмечены объяснениями, она также должна функционировать как учебник для Sysmon и руководство по критическим областям мониторинга в системах Windows.
Для гораздо более исчерпывающего и подробного подхода к конфигурации Sysmon из другого подхода см. Также Sysmon-Modular от @olafhartong, который может действовать как суперсет Sysmon-Config.
Sysmon является комплиментом для собственных способностей для ведения журнала Windows, а не замены для него. Ценные советы по этим конфигурациям см. В журнале Malwarearchaeology Chiets от @hackerhurricane.
ПРИМЕЧАНИЕ. Точный синтаксис и выбор фильтрации в конфигурации очень преднамерен в том, на что они нацелены, и имеют как можно меньше влияния на производительность. Способность фильтрации Sysmon отличается от встроенных функций аудита Windows, поэтому часто используется другой подход, чем обычный статический список путей.
Смотрите другие вилки этой конфигурации
Бежать с правами администратора
sysmon.exe -accepteula -i sysmonconfig-export.xml
Бежать с правами администратора
sysmon.exe -c sysmonconfig-export.xml
Бежать с правами администратора
sysmon.exe -u
Настоятельно рекомендую использовать Notepad ++ для редактирования этой конфигурации. Он понимает формат Unix Newline и делает выделение синтаксиса XML, что делает это очень понятным. Я не рекомендую использовать встроенный notepad.exe.
Вам нужно будет установить и наблюдать за результатами конфигурации в вашей собственной среде, прежде чем широко ее развернуть. Например, вам нужно будет исключить действия вашего антивируса, что в противном случае, вероятно, заполнит ваши журналы бесполезной информацией.
Конфигурация очень комментирована и предназначена для того, чтобы быть самоэкспланирующей, чтобы помочь вам в этой настройке в вашу среду.
Эта конфигурация ожидает, что программное обеспечение будет установлено по всей системе, а не в папке пользователей C: . Различные части программного обеспечения устанавливаются в пользовательских каталогах, которые подлежат дополнительному мониторингу. Там, где это возможно, вы должны установить общеобразовательную версию этих фрагментов программного обеспечения, таких как Chrome. См. Файл конфигурации для получения дополнительных инструкций.
