SysmonTools

^{В поисках партнеров Bsuiness, пожалуйста, посетите www.cyber-distance.com для получения дополнительной информации}

Этот репозиторий содержит следующее:

• Просмотр SYSMON: автономный инструмент визуализации журнала Sysmon.
• Sysmon Shell: утилита конфигурации Sysmon.
• Sysmon Box: утилита регистрации Sysmon и сети.

• Выпуск заметок
• Sysmon View
• Sysmon Shell
• Sysmon Box
• Дополнительные ресурсы
• Лицензия

• Просмотр Sysmon: Версия 3.1 может импортировать и коррелировать сетевой захват трассировки с помощью сетевого события Sysmon
• Sysmon Box: новая утилита командной строки для захвата Sysmon и сетевых событий (v1.0)
• Sysmon Shell: добавлена ​​команда для обновления файлов конфигурации на v9.0 (временное решение)

Sysmon View помогает в отслеживании и визуализации журналов Sysmon, логически группируя и соревнуя различные события Sysmon вместе, используя существующие данные о событиях, такие как имена исполнителей, гиды сеанса, время создания событий и т. Д.

Начиная

Для начала, экспортные события Sysmon в файл XML с использованием встроенного Wevtutil, этот файл будет импортирован позже Sysmon View:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

После экспорта запустите Sysmon View и импортируйте сгенерированный файл «eventLog.xml» (или выбранное вами имя), обратите внимание, что это может занять некоторое время, в зависимости от размера файла журнала (файл должен быть импортирован один раз, последующие выполнения просмотра Sysmon не требуют импорта данных снова, просто используйте файл MENU File -> Load existing data не требуют, чтобы они снова импортировали данные.

Все данные будут импортированы в файл базы данных SQLite с именем SysmonViewDB , который находится в том же месте, что и исполняемый файл Sysmon View. Этот файл может быть передан другими, если это необходимо, просто поместите файл в то же место, что и представление Sysmon, и используйте командный File -> Load existing data .

Каждый раз, когда импортируется новый XML-файл, файл базы данных будет удален и воссоздан. Чтобы сохранить любые ранее импортированные данные, скопируйте файл базы данных в другое место или просто переименование.

База данных может использоваться непосредственно в ваших собственных приложениях, база данных содержит сводки хэшей, исполняемых файлов, IP -адресов, отображений GEO и все логически связаны с помощью имени файла или сеанса (исполняемый GUID).

Вы можете запросить файл базы данных напрямую, используя любое программное обеспечение для управления SQLite без необходимости представления Sysmon, например, для создания отчетов или анализа данных

Sysmon Views

Просмотр процесса. Это представление просто помогает сосредоточиться на сводке «сеансов запуска», например, аналитик может начать с исполняемого имени (например, cmd.exe) или типа события (например, сетевого события), оттуда может быть применена дальнейшая фильтрация, например, на поиске запущенных сеансов для одного и того же бинара, но от разных мест. В этом представлении используется процесс GUID для фильтрации событий в соответствии с сеансом «запустить», в выборе любого запущенного сеанса (из списка GUID) будет отображаться все другие связанные (коррелированные) события в простом представлении, похожих на данные, отсортированные с использованием времени события. ПРИМЕЧАНИЕ .

Доступ к сведениям о событиях Sysmon предоставляется просто дважды щелчка любого события в представлении, например, предыдущий захват экрана показывает детали события создания процесса (идентификатор события 1), инструмент также может интегрироваться с вирустотальным по требованию для дальнейшего поиска хеш и IP (требует регистрации ключа API).

Просмотр карты : Во время процесса импорта событий есть возможность для геопроводных IP-адресов, если установлено, Sysmon View будет пытаться в сетевых направлениях Geo-Map с помощью https://ipstack.com/ service.

В представлении карты легко перемещаться между коррелированными (связанными) событиями, используя сетевое событие в качестве отправной точки, опять же, инструмент способен достичь этого, используя Guidess Session. Чтобы изучить связанные события, используйте гиперссылки для Guid, новое представление, аналогичное представлению процесса, будет отображаться в новом окне со всеми связанными событиями сеанса:

Все события также можно использовать для полного поиска по всем данным событий, собранных Sysmon, также помогает в просмотре событий, которые не относятся к другим событиям, таким как тип события «загруженный драйвер». Навигация между соответствующими событиями все еще предоставляется с использованием GUID в дополнение к деталям события, нажав на ссылку FID

Кроме того, представление All Events поддерживает опорную (группирующую) расположение событий, по названию машины, типу событий или GUID, как показано ниже

Также возможны множественные уровни группировки

Sysmon Shell может помочь в написании и применении конфигураций Sysmon XML через простой интерфейс графического интерфейса.

Sysmon Shell также может использоваться для изучения различных параметров конфигурации, доступных для Sysmon, легко применять и обновить конфигурацию XML, в дополнение к экспортированию журналов событий Sysmon, вкратце:

• Sysmon Shell может загружать файлы конфигурации Sysmon XML: текущая версия поддерживает все схемы Sysmon. (Инструмент не загружает какие -либо конфигурации непосредственно из реестра, только из файлов XML).
• Он может экспортировать/сохранить окончательный XML в файл.
• Он может применить сгенерированный файл конфигурации XML, непосредственно вызывая Sysmon.exe -c command (создавая временный файл XML в той же папке, где установлен Sysmon), по этой причине, если эта функция используется, Sysmon Shell потребует повышенных привилегий (необходимость для этого унаследован в процессе Sysmon), вывод на конфигурацию будет отображаться в прежнем этаже (это Sys is sys sys sys sys sys sys sys sys sys is sys sys is sys sys is sys sys sys is sys sys sys sys sys sys sys sys sys sys
• Конфигурация XML может быть предварительно просмотреть перед сохранением на панели предварительного просмотра
• Последняя вкладка (помеченная «экспорт журналов») может стать удобной для быстрого экспорта журналов событий Sysmon в XML, что впоследствии можно использовать с «Sysmon View» для анализа событий, экспорт имеет три варианта:
  • Только экспорт
  • Экспорт и прозрачный журнал событий Sysmon
  • Экспорт, резервный файл EVTX и очистить журнал событий
• Утилита имеет описания для всех типов событий, взятых на домашней странице Sysmon Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
• Sysmon Shell поставляется в комплекте со многими шаблонами конфигурации Sysmon, созданными другими специалистами безопасности

Что он не сделает : предупреждайте вас о включении/исключении конфликтов или попытки проверить самого правила, однако, как только настройка будет применена, на панели предварительного просмотра отображается выход, захваченный из sysmon.exe, когда применяется конфигурация (вывод Sysmon -c command ), из которых могут быть выявлены ошибки.

Sysmon Box - это небольшая утилита, которая может помочь в создании базы данных захваченного Sysmon и сетевого трафика.

Чтобы запустить Sysmon Box, используйте следующую команду (Sysmon должен работать вместе с Tshark):

SysmonBox -in Wi-Fi

Инструмент затем выполнит следующее:

• Начните захватывать трафик (используя tshark в фоновом режиме, поэтому вы должны указать интерфейс захвата), когда закончите, нажмите Ctrl + C, чтобы закончить сеанс
• Затем Sysmon Box остановит захват трафика, сбросите все захваченные пакеты в файл и журналы Sysmon Export, записанные между временем начала и окончания сеанса с использованием утилиты EVT
• Создайте файл базы данных Sysmon View (резервное копирование существующего) файла с импортированными журналами из Sysmon и захваченного трафика, все, что вам нужно сделать, это запустить представление Sysmon из той же папки или поместить файл базы данных (sysmonviewdb) в той же папке, что и представление Sysmon (сохраните захваты пакета в одном месте)

• Вы можете прочитать больше о Sysmon View & Sysmon Shell в моем блоге https://nosecurecode.com/
• Ниже приведен хороший обзор о Sysmon и Sysmon View https://www.fwhibbit.es/sysmon-the-big brother-findows-and-the-super-sysmonview

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.