SysmonTools
1.0.0
寻找Bsuiness伙伴,请访问www.cyber-distance.com了解更多信息
该存储库包含以下内容:
Sysmon视图通过逻辑分组和将各种Sysmon事件组合在一起,使用现有事件数据(例如可执行文件名称,会话指导,事件创建时间等)来帮助跟踪和可视化Sysmon日志
入门
首先,使用内置的Wevtutil将SYSMON事件导出到XML文件,该文件将在稍后通过Sysmon View导入:
WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml
导出后,运行sysmon视图并导入生成的文件“ EventLog.xml”(或您选择的名称),请注意,这可能需要一些时间,具体取决于日志文件的大小(需要一次导入文件,随后的SYSMON视图的后续运行再次运行,不需要再次导入数据,只需将数据File -> Load existing data以先前导入数据)。
所有数据都将导入到与Sysmon View可执行文件相同位置的sysmonviewDB的SQLite数据库文件。如果需要,可以与其他文件共享此文件,只需将文件放在与Sysmon视图同一位置,然后使用命令File -> Load existing data 。
每次导入新的XML文件时,数据库文件都会被删除并重新创建。要保留任何先前导入的数据,请将数据库文件复制到另一个位置或简单地将其重命名。
数据库也可以直接在您自己的应用程序中使用,数据库包含哈希,可执行文件,IP地址,GEO映射的摘要,并且通过文件名或会话(可执行的GUID)在逻辑上链接。
您可以使用任何SQLite管理软件直接查询数据库文件,而无需Sysmon视图来生成报告或分析数据
Sysmon视图
流程视图此视图仅有助于关注“运行会话”的摘要,例如,分析师可以从可执行的名称(例如cmd.exe)或事件类型(例如网络事件)开始,从那里,可以应用进一步的过滤,例如,查找对同一二进制的运行会话,但来自不同的位置。此视图利用过程GUID来过滤每个会话“运行”,选择任何运行会话(从GUID列表中)将在简单的类似数据流的视图中显示所有其他相关(相关)事件,并使用事件的时间进行排序。注意:如果数据是从Elasticsearch实例而不是单个计算机导入的,则可以将事件安排为每个机器的可执行文件 - 检查上一节“实验 - Sysmon View and Elasticsearch” )。
通过简单地单击视图中的任何事件,可以提供对Sysmon事件详细信息的访问,例如,上一个屏幕捕获显示了过程创建事件的详细信息(事件ID 1),该工具还可以按需要按需进行Virustotal集成以进行进一步的哈希和IP查找(需要API密钥注册)。
地图视图:在事件导入过程中,可以选择使用https://ipstack.com/ service geo-Locate IP地址(如果设置)。
在MAP视图中,通过使用网络事件作为起点,在相关的(相关)事件之间很容易导航,该工具可以使用运行过程会话GUID来实现此目标。为了探索相关事件,请使用“会话指南”的超链接,将出现与过程视图类似的新视图,其中包含所有相关会话事件的新窗口:
所有事件视图也可以用于通过所有Sysmon收集的事件数据进行完整搜索,它还有助于查看与其他事件无关的事件,例如“驱动程序已加载”事件类型。除了事件详细信息外,还通过单击FID链接,还使用过程GUID提供了相关事件之间的导航
此外,所有事件视图通过机器名称,事件类型或GUID支持类似枢轴的事件布置(分组),如下所示
多个分组级别也是可能的
Sysmon Shell可以通过简单的GUI界面来帮助写作和应用Sysmon XML配置。
Sysmon Shell还可以用来探索Sysmon可用的各种配置选项,轻松应用和更新XML配置,除了导出Sysmon事件日志,简而言之:
Sysmon.exe -c command directly (creating a temporary XML file in the same folder where Sysmon is installed), for this reason, if this feature is used, Sysmon Shell will require elevated privileges (the need for this is inherited from Sysmon process itself), the output of applying the configuration will be displayed in the preview pan (this is Sysmon generated output)它不会做的事情:警告您包括/排除冲突或尝试验证规则本身,但是,一旦应用了配置,预览窗格将显示从Sysmon.exe捕获的输出时( Sysmon -c command的输出),可以从哪些错误中识别出哪些错误
Sysmon Box是一个小型实用程序,可以帮助构建捕获的Sysmon和网络流量的数据库。
要运行Sysmon框,请使用以下命令(Sysmon需要与TSHARK一起启动并运行):
SysmonBox -in Wi-Fi
然后,该工具将执行以下操作:
Copyright 2018 Nader Shallabi. All rights reserved.
SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.
THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.
