หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

Sysmon-config | ไฟล์กำหนดค่า sysmon สำหรับทุกคนที่จะแยก

นี่คือเทมเพลตไฟล์การกำหนดค่า Microsoft Sysinternals Sysmon ที่มีการติดตามเหตุการณ์คุณภาพสูงเริ่มต้น

ไฟล์ควรทำหน้าที่เป็นจุดเริ่มต้นที่ดีสำหรับการตรวจสอบการเปลี่ยนแปลงระบบในแพ็คเกจที่มีอยู่ในตัวเองและเข้าถึงได้ การกำหนดค่าและผลลัพธ์นี้ควรให้ความคิดที่ดีเกี่ยวกับสิ่งที่เป็นไปได้สำหรับ Sysmon โปรดทราบว่าสิ่งนี้ไม่ได้ติดตามสิ่งต่าง ๆ เช่นการรับรองความถูกต้องและเหตุการณ์ Windows อื่น ๆ ที่มีความสำคัญต่อการตรวจสอบเหตุการณ์

sysmonconfig-export.xml

เนื่องจากแทบทุกบรรทัดมีความคิดเห็นและส่วนต่าง ๆ ถูกทำเครื่องหมายด้วยคำอธิบายจึงควรทำหน้าที่เป็นบทช่วยสอนสำหรับ Sysmon และแนวทางในการตรวจสอบที่สำคัญในระบบ Windows

  • สำหรับวิธีการที่ละเอียดถี่ถ้วนและละเอียดยิ่งขึ้นในการกำหนดค่า Sysmon จากวิธีการที่แตกต่างกันโปรดดูที่ Sysmon-Modular โดย @olafhartong ซึ่งสามารถทำหน้าที่เป็น superset ของ sysmon-config

  • Sysmon เป็นคำชมเชยความสามารถในการบันทึกหน้าต่างแบบดั้งเดิมไม่ใช่การทดแทน สำหรับคำแนะนำที่มีค่าเกี่ยวกับการกำหนดค่าเหล่านี้ดูที่ Malwarearchaeology Logging Sheets แผ่นโกง โดย @hackerhurricane

หมายเหตุ: ไวยากรณ์ที่แน่นอนและตัวเลือกการกรองในการกำหนดค่ามีการพิจารณาอย่างถี่ถ้วนในสิ่งที่พวกเขากำหนดเป้าหมายและมีผลกระทบประสิทธิภาพเพียงเล็กน้อยที่สุดเท่าที่จะทำได้ ความสามารถในการกรองของ Sysmon นั้นแตกต่างจากคุณสมบัติการตรวจสอบ Windows ในตัวดังนั้นบ่อยครั้งที่วิธีการที่แตกต่างกันนั้นถูกนำมาใช้มากกว่ารายการเส้นทางคงที่ปกติ

ดูส้อมอื่น ๆ ของการกำหนดค่านี้

ใช้

ติดตั้ง

ดำเนินการด้วยสิทธิ์ของผู้ดูแลระบบ 

 sysmon.exe -accepteula -i sysmonconfig-export.xml

อัปเดตการกำหนดค่าที่มีอยู่

ดำเนินการด้วยสิทธิ์ของผู้ดูแลระบบ 

 sysmon.exe -c sysmonconfig-export.xml

ถอนการติดตั้ง

ดำเนินการด้วยสิทธิ์ของผู้ดูแลระบบ 

 sysmon.exe -u

การดำเนินการที่จำเป็น

ข้อกำหนดเบื้องต้น

ขอแนะนำอย่างยิ่งให้ใช้ Notepad ++ เพื่อแก้ไขการกำหนดค่านี้ เข้าใจรูปแบบใหม่ของ UNIX และไฮไลต์ไวยากรณ์ XML ซึ่งทำให้เข้าใจได้ดีมาก ฉันไม่แนะนำให้ใช้ notepad.exe ในตัว

การปรับแต่ง

คุณจะต้องติดตั้งและสังเกตผลลัพธ์ของการกำหนดค่าในสภาพแวดล้อมของคุณเองก่อนที่จะปรับใช้อย่างกว้างขวาง ตัวอย่างเช่นคุณจะต้องยกเว้นการกระทำของโปรแกรมป้องกันไวรัสของคุณซึ่งน่าจะเติมเต็มบันทึกของคุณด้วยข้อมูลที่ไร้ประโยชน์

การกำหนดค่ามีความคิดเห็นสูงและออกแบบมาเพื่ออธิบายตนเองเพื่อช่วยคุณในการปรับแต่งนี้ให้กับสภาพแวดล้อมของคุณ

บันทึกการออกแบบ

การกำหนดค่านี้คาดว่าซอฟต์แวร์จะติดตั้งทั่วทั้งระบบและไม่ได้อยู่ในโฟลเดอร์ C: users ซอฟต์แวร์หลายชิ้นติดตั้งตัวเองในไดเรกทอรีผู้ใช้ซึ่งอาจมีการตรวจสอบเพิ่มเติม หากเป็นไปได้คุณควรติดตั้งซอฟต์แวร์ชิ้นส่วนทั่วทั้งระบบเช่น Chrome ดูไฟล์กำหนดค่าสำหรับคำแนะนำเพิ่มเติม

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด