sysmon config
1.0.0
这是Microsoft Sysinternals Sysmon配置文件模板,具有默认高质量事件跟踪。
该文件应作为系统更改监视的重要起点,以独立且可访问的软件包中的方式运行。这种配置和结果应该使您可以很好地了解Sysmon的可能性。请注意,这不会跟踪身份验证和其他对于事件调查也至关重要的事件。
sysmonconfig-export.xml
由于几乎每行都会评论并用解释标记部分,因此它也应充当Sysmon的教程和Windows系统中关键监视区域的指南。
有关从不同方法的Sysmon配置的更详尽和详细的方法,另请参见@olafhartong的Sysmon模块,该方法可以充当Sysmon-Config的超集。
Sysmon是对本机Windows记录能力的称赞,而不是替代品。有关这些配置的宝贵建议,请参见@hackerhurricane的Malwarearchaeylogy记录作弊表。
注意:配置中的精确语法和过滤选择在其目标方面是高度故意的,并且具有尽可能少的性能影响。 SYSMON的过滤能力与内置的Windows审核功能不同,因此通常采取不同的方法与正常的静态路径列表。
查看此配置的其他叉
拥有管理员权利
sysmon.exe -accepteula -i sysmonconfig-export.xml
拥有管理员权利
sysmon.exe -c sysmonconfig-export.xml
拥有管理员权利
sysmon.exe -u
强烈建议使用Notepad ++编辑此配置。它了解Unix Newline格式并进行XML语法突出显示,这使得这非常可以理解。我不建议使用内置的Notepad.exe。
在广泛部署之前,您需要在自己的环境中安装和观察配置的结果。例如,您将需要排除防病毒软件的操作,否则,这可能会填充您的日志中的无用信息。
对配置进行了高度评论,并设计为自我解释,以帮助您对环境进行自定义。
这种配置希望软件在整个系统范围内安装,而不是在C: Users文件夹中安装。各种软件将自己安装在用户目录中,这些软件需要额外的监视。在可能的情况下,您应该安装这些软件(例如Chrome)的全系统版本。有关更多说明,请参见配置文件。
