หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

เครื่องมือ sysmon

กำลังมองหาพันธมิตร bsuiness กรุณาเยี่ยมชม www.cyber-distance.com สำหรับข้อมูลเพิ่มเติม

สาธารณูปโภคสำหรับ sysmon

ที่เก็บนี้มีสิ่งต่อไปนี้:

  • Sysmon View: เครื่องมือสร้างภาพบันทึก Sysmon แบบออฟไลน์
  • Sysmon Shell: ยูทิลิตี้การกำหนดค่า Sysmon
  • Sysmon Box: ระบบ Sysmon และ Network Capture Atility

เนื้อหา

  • บันทึกย่อ
  • Sysmon View
  • Sysmon Shell
  • กล่อง Sysmon
  • ทรัพยากรเพิ่มเติม
  • ใบอนุญาต

บันทึกย่อ

  • Sysmon View: เวอร์ชัน 3.1 สามารถนำเข้าและเชื่อมโยงการจับภาพการติดตามเครือข่ายกับเหตุการณ์ Sysmon Network
  • กล่อง Sysmon: ยูทิลิตี้บรรทัดคำสั่งใหม่เพื่อจับภาพเหตุการณ์ Sysmon และเครือข่าย (v1.0)
  • Sysmon Shell: เพิ่มคำสั่งเพื่ออัพเกรดไฟล์การกำหนดค่าเป็น v9.0 (โซลูชันชั่วคราว)

Sysmon View

Sysmon View ช่วยในการติดตามและแสดงภาพบันทึก Sysmon โดยการจัดกลุ่มอย่างมีเหตุผลและเชื่อมโยงเหตุการณ์ต่าง ๆ ของ Sysmon เข้าด้วยกันโดยใช้ข้อมูลเหตุการณ์ที่มีอยู่เช่นชื่อ Executables, Guid เซสชัน, เวลาในการสร้างเหตุการณ์ ฯลฯ เครื่องมือจะจัดเรียงข้อมูลนี้อีกครั้ง

เริ่มต้น

ในการเริ่มต้นใช้งาน Export Sysmon Events ไปยังไฟล์ XML โดยใช้ wevtutil ในตัวไฟล์นี้จะนำเข้าในภายหลังโดย Sysmon View:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

เมื่อส่งออกแล้วให้เรียกใช้มุมมอง Sysmon และนำเข้าไฟล์ที่สร้างขึ้น“ eventlog.xml” (หรือชื่อที่คุณเลือก) โปรดทราบว่าสิ่งนี้อาจใช้เวลาพอสมควรขึ้นอยู่กับขนาดของไฟล์บันทึก File -> Load existing data ไฟล์ต้องนำเข้าหนึ่งครั้ง

ข้อมูลทั้งหมดจะถูกนำเข้าไปยังไฟล์ฐานข้อมูล SQLite ที่ชื่อว่า SysMonViewDB ซึ่งอยู่ในตำแหน่งเดียวกันกับ Sysmon View ที่เรียกใช้งานได้ ไฟล์นี้สามารถแชร์กับไฟล์อื่น ๆ ได้หากจำเป็นเพียงวางไฟล์ไว้ในตำแหน่งเดียวกันกับมุมมอง Sysmon และใช้ File -> Load existing data

ทุกครั้งที่มีการนำเข้าไฟล์ XML ใหม่ไฟล์ฐานข้อมูลจะถูกลบและสร้างใหม่ ในการเก็บรักษาข้อมูลที่นำเข้าก่อนหน้านี้ให้คัดลอกไฟล์ฐานข้อมูลไปยังตำแหน่งอื่นหรือเปลี่ยนชื่อ

ฐานข้อมูลสามารถใช้โดยตรงในแอปพลิเคชันของคุณเองเช่นกันฐานข้อมูลมีบทสรุปของแฮช, ปฏิบัติการ, ที่อยู่ IP, การแมป GEO และทั้งหมดมีการเชื่อมโยงอย่างมีเหตุผลผ่านชื่อไฟล์หรือเซสชัน

คุณสามารถสอบถามไฟล์ฐานข้อมูลได้โดยตรงโดยใช้ซอฟต์แวร์การจัดการ SQLite ใด ๆ โดยไม่จำเป็นต้องใช้ Sysmon View ตัวอย่างเช่นเพื่อสร้างรายงานหรือวิเคราะห์ข้อมูล

มุมมอง Sysmon

View Process View นี้ช่วยมุ่งเน้นไปที่บทสรุปของ "การเรียกใช้เซสชัน" ตัวอย่างเช่นนักวิเคราะห์สามารถเริ่มต้นด้วยชื่อที่เรียกใช้งานได้ (เช่น cmd.exe) หรือประเภทเหตุการณ์ (เช่นเหตุการณ์เครือข่าย) จากที่นั่นสามารถนำไปใช้การกรองเพิ่มเติมได้ มุมมองนี้ใช้ประโยชน์จากกระบวนการ GUID ในการกรองเหตุการณ์ต่อเซสชัน "เรียกใช้" การเลือกเซสชันที่รันใด ๆ (จากรายการ GUIDs) จะแสดงเหตุการณ์อื่น ๆ ที่เกี่ยวข้อง (สัมพันธ์) ทั้งหมดในมุมมองแบบไหลข้อมูลแบบง่าย ๆ โดยใช้เวลาของเหตุการณ์ หมายเหตุ: ในกรณีที่ข้อมูลถูกนำเข้าจากอินสแตนซ์ Elasticsearch แทนเครื่องเดียวสามารถจัดกิจกรรมต่อการดำเนินการต่อเครื่อง - ตรวจสอบส่วนก่อนหน้า "การทดลอง - Sysmon View และ Elasticsearch" )

การเข้าถึงรายละเอียดเหตุการณ์ SYSMON นั้นจัดทำโดยการคลิกสองครั้งที่เหตุการณ์ใด ๆ ในมุมมองตัวอย่างเช่นการจับภาพหน้าจอก่อนหน้านี้แสดงรายละเอียดของเหตุการณ์ การสร้างกระบวนการ (ID เหตุการณ์ 1) เครื่องมือนี้ยังสามารถรวมเข้ากับ virustotal ตามความต้องการสำหรับการค้นหาแฮชและ IP เพิ่มเติม (ต้องการการลงทะเบียนคีย์ API)

มุมมองแผนที่ : ในระหว่างกระบวนการนำเข้าเหตุการณ์มีตัวเลือกในการตั้งที่อยู่ IP ทางภูมิศาสตร์หากตั้งค่า Sysmon View จะพยายามหา จุดหมายปลายทางเครือข่าย Geo-Map โดยใช้บริการ https://ipstack.com/

ใน มุมมองแผนที่ เป็นเรื่องง่ายที่จะนำทางระหว่างเหตุการณ์ที่สัมพันธ์กัน (เกี่ยวข้อง) โดยใช้ เหตุการณ์เครือข่าย เป็นจุดเริ่มต้นอีกครั้งเครื่องมือสามารถบรรลุเป้าหมายนี้โดยใช้ GUID เซสชันกระบวนการทำงาน ในการสำรวจเหตุการณ์ที่เกี่ยวข้องให้ใช้การเชื่อมโยงหลายมิติสำหรับ GUID เซสชันมุมมองใหม่ที่คล้ายกับ มุมมองกระบวนการ จะปรากฏขึ้นในหน้าต่างใหม่พร้อมเหตุการณ์เซสชันที่เกี่ยวข้องทั้งหมด:

มุมมองเหตุการณ์ทั้งหมด ยังสามารถใช้ใน การค้นหาอย่างเต็มรูปแบบ ผ่านข้อมูลเหตุการณ์ที่รวบรวมได้ทั้งหมดนอกจากนี้ยังช่วยในการดูเหตุการณ์ที่ไม่เกี่ยวข้องกับเหตุการณ์อื่น ๆ เช่นประเภทเหตุการณ์ "ไดรเวอร์โหลด" การนำทางระหว่างเหตุการณ์ที่เกี่ยวข้องยังคงมีให้โดยใช้ GUID กระบวนการนอกเหนือจากรายละเอียดเหตุการณ์โดยคลิกที่ ลิงค์ FID

นอกจากนี้ Events View ยังสนับสนุนการจัดเรียง (การจัดกลุ่ม) ของเหตุการณ์โดยใช้ชื่อเครื่องประเภทเหตุการณ์หรือ GUID ดังที่แสดงด้านล่าง

สามารถจัดกลุ่มได้หลายระดับ

Sysmon Shell

Sysmon Shell สามารถช่วยในการเขียนและใช้การกำหนดค่า Sysmon XML ผ่านอินเตอร์เฟส GUI อย่างง่าย

Sysmon Shell ยังสามารถใช้ในการสำรวจตัวเลือกการกำหนดค่าต่างๆที่มีให้กับ Sysmon ใช้งานได้อย่างง่ายดายและอัปเดตการกำหนดค่า XML นอกเหนือจากการส่งออกบันทึกเหตุการณ์ Sysmon โดยสรุป:

  • Sysmon Shell สามารถโหลดไฟล์การกำหนดค่า Sysmon XML: เวอร์ชันปัจจุบันรองรับ Sysmon Schemas ทั้งหมด (เครื่องมือไม่ได้โหลดการกำหนดค่าใด ๆ โดยตรงจากรีจิสทรีเฉพาะจากไฟล์ XML)
  • สามารถส่งออก/บันทึก XML สุดท้ายไปยังไฟล์
  • มันสามารถใช้ไฟล์กำหนดค่า XML ที่สร้างขึ้นโดยเรียก Sysmon.exe -c command โดยตรง (การสร้างไฟล์ XML ชั่วคราวในโฟลเดอร์เดียวกันกับที่ติดตั้ง Sysmon) ด้วยเหตุนี้หากใช้คุณสมบัตินี้ Sysmon Shell จะต้องมีการเพิ่มขึ้น
  • การกำหนดค่า XML สามารถดูตัวอย่างก่อนบันทึกในบานหน้าต่างตัวอย่าง
  • แท็บสุดท้าย (ทำเครื่องหมาย "บันทึกการส่งออก") อาจมีประโยชน์ในการส่งออกบันทึกเหตุการณ์ Sysmon อย่างรวดเร็วไปยัง XML ซึ่งสามารถใช้กับ "Sysmon View" ได้ในภายหลังสำหรับการวิเคราะห์เหตุการณ์การส่งออกมีสามตัวเลือก:
    • ส่งออกเท่านั้น
    • บันทึกการส่งออกและเคลียร์ Sysmon
    • ส่งออกไฟล์ Backup EVTX และล้างบันทึกเหตุการณ์
  • ยูทิลิตี้มีคำอธิบายสำหรับกิจกรรมทุกประเภทที่นำมาจากหน้าแรกของ Sysmon Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)
  • Sysmon Shell มา พร้อม กับเทมเพลตการกำหนดค่า Sysmon จำนวนมากที่สร้างโดยผู้เชี่ยวชาญด้านความปลอดภัยอื่น ๆ

สิ่งที่จะไม่ทำ : เตือนคุณเกี่ยวกับการรวม/ยกเว้นความขัดแย้งหรือพยายามตรวจสอบกฎของตัวเองอย่างไรก็ตามเมื่อใช้การกำหนดค่าบานหน้าต่างตัวอย่างจะแสดงเอาต์พุตที่จับได้จาก sysmon.exe เมื่อใช้การกำหนดค่า (เอาต์พุตของ Sysmon -c command )

กล่อง Sysmon

Sysmon Box เป็นยูทิลิตี้ขนาดเล็กที่สามารถช่วยในการสร้างฐานข้อมูลของ Sysmon ที่จับได้และการรับส่งข้อมูลเครือข่าย

ในการเรียกใช้กล่อง Sysmon ให้ใช้คำสั่งต่อไปนี้ (Sysmon จำเป็นต้องทำงานพร้อมกับ Tshark):

SysmonBox -in Wi-Fi

เครื่องมือจะดำเนินการดังต่อไปนี้:

  • เริ่มการจับภาพการรับส่งข้อมูล (โดยใช้ tshark ในพื้นหลังนี่คือเหตุผลที่คุณต้องระบุอินเตอร์เฟสการจับภาพ) เมื่อเสร็จแล้วให้กด Ctrl + C เพื่อจบเซสชัน
  • กล่อง Sysmon จะหยุดการจับจราจร, ทิ้งแพ็คเก็ตที่จับได้ทั้งหมดไปยังไฟล์และส่งออกบันทึก Sysmon ที่บันทึกระหว่างเวลาเริ่มต้นและสิ้นสุดของเซสชันโดยใช้ยูทิลิตี้ EVT
  • สร้างฐานข้อมูลมุมมอง Sysmon (สำรองข้อมูลที่มีอยู่) พร้อมบันทึกที่นำเข้าจาก Sysmon และการรับส่งข้อมูลที่จับได้สิ่งที่คุณต้องทำคือเรียกใช้มุมมอง Sysmon จากโฟลเดอร์เดียวกันหรือวางไฟล์ฐานข้อมูล (SysmonViewDB) ในโฟลเดอร์เดียวกันกับ Sysmon View

ทรัพยากรเพิ่มเติม

  • คุณสามารถอ่านเพิ่มเติมเกี่ยวกับ Sysmon View & Sysmon Shell บนบล็อกของฉัน https://nosecurecode.com/
  • ต่อไปนี้เป็นภาพรวมที่ดีเกี่ยวกับ Sysmon และ Sysmon View https://www.fwhibbit.es/sysmon-the-big-brother-of-windows-and-the-super-smonview

ใบอนุญาต 

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด