sysmon config

這是Microsoft Sysinternals Sysmon配置文件模板，具有默認高質量事件跟踪。

該文件應作為系統更改監視的重要起點，以獨立且可訪問的軟件包中的方式運行。這種配置和結果應該使您可以很好地了解Sysmon的可能性。請注意，這不會跟踪身份驗證和其他對於事件調查也至關重要的事件。

sysmonconfig-export.xml

由於幾乎每行都會評論並用解釋標記部分，因此它也應充當Sysmon的教程和Windows系統中關鍵監視區域的指南。

• 有關從不同方法的Sysmon配置的更詳盡和詳細的方法，另請參見@olafhartong的Sysmon模塊，該方法可以充當Sysmon-Config的超集。

• Sysmon是對本機Windows記錄能力的稱讚，而不是替代品。有關這些配置的寶貴建議，請參見@hackerhurricane的Malwarearchaeylogy記錄作弊表。

注意：配置中的精確語法和過濾選擇在其目標方面是高度故意的，並且具有盡可能少的性能影響。 SYSMON的過濾能力與內置的Windows審核功能不同，因此通常採取不同的方法與正常的靜態路徑列表。

查看此配置的其他叉

擁有管理員權利

 sysmon.exe -accepteula -i sysmonconfig-export.xml

擁有管理員權利

 sysmon.exe -c sysmonconfig-export.xml

擁有管理員權利

 sysmon.exe -u

強烈建議使用Notepad ++編輯此配置。它了解Unix Newline格式並進行XML語法突出顯示，這使得這非常可以理解。我不建議使用內置的Notepad.exe。

在廣泛部署之前，您需要在自己的環境中安裝和觀察配置的結果。例如，您將需要排除防病毒軟件的操作，否則，這可能會填充您的日誌中的無用信息。

對配置進行了高度評論，並設計為自我解釋，以幫助您對環境進行自定義。

這種配置希望軟件在整個系統範圍內安裝，而不是在C： Users文件夾中安裝。各種軟件將自己安裝在用戶目錄中，這些軟件需要額外的監視。在可能的情況下，您應該安裝這些軟件（例如Chrome）的全系統版本。有關更多說明，請參見配置文件。