SysmonTools

^{尋找Bsuiness夥伴，請訪問www.cyber-distance.com了解更多信息}

該存儲庫包含以下內容：

• Sysmon視圖：離線Sysmon日誌可視化工具。
• Sysmon Shell： Sysmon配置實用程序。
• Sysmon Box： Sysmon和網絡捕獲記錄實用程序。

• 發行說明
• Sysmon視圖
• Sysmon殼
• 系統盒
• 其他資源
• 執照

• Sysmon視圖：版本3.1可以導入和關聯網絡跟踪捕獲與Sysmon網絡事件
• Sysmon Box：捕獲SYSMON和網絡事件的新命令行實用程序（V1.0）
• Sysmon Shell：添加了一個命令，以將配置文件升級到v9.0（臨時解決方案）

Sysmon視圖通過邏輯分組和將各種Sysmon事件組合在一起，使用現有事件數據（例如可執行文件名稱，會話指導，事件創建時間等）來幫助跟踪和可視化Sysmon日誌

入門

首先，使用內置的Wevtutil將SYSMON事件導出到XML文件，該文件將在稍後通過Sysmon View導入：

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

導出後，運行sysmon視圖並導入生成的文件“ EventLog.xml”（或您選擇的名稱），請注意，這可能需要一些時間，具體取決於日誌文件的大小（需要一次導入文件，隨後的SYSMON視圖的後續運行再次運行，不需要再次導入數據，只需將數據File -> Load existing data以先前導入數據）。

所有數據都將導入到與Sysmon View可執行文件相同位置的sysmonviewDB的SQLite數據庫文件。如果需要，可以與其他文件共享此文件，只需將文件放在與Sysmon視圖同一位置，然後使用命令File -> Load existing data 。

每次導入新的XML文件時，數據庫文件都會被刪除並重新創建。要保留任何先前導入的數據，請將數據庫文件複製到另一個位置或簡單地將其重命名。

數據庫也可以直接在您自己的應用程序中使用，數據庫包含哈希，可執行文件，IP地址，GEO映射的摘要，並且通過文件名或會話（可執行的GUID）在邏輯上鍊接。

您可以使用任何SQLite管理軟件直接查詢數據庫文件，而無需Sysmon視圖來生成報告或分析數據

Sysmon視圖

流程視圖此視圖僅有助於關注“運行會話”的摘要，例如，分析師可以從可執行的名稱（例如cmd.exe）或事件類型（例如網絡事件）開始，從那裡，可以應用進一步的過濾，例如，查找對同一二進制的運行會話，但來自不同的位置。此視圖利用過程GUID來過濾每個會話“運行”，選擇任何運行會話（從GUID列表中）將在簡單的類似數據流的視圖中顯示所有其他相關（相關）事件，並使用事件的時間進行排序。注意：如果數據是從Elasticsearch實例而不是單個計算機導入的，則可以將事件安排為每個機器的可執行文件 - 檢查上一節“實驗 - Sysmon View and Elasticsearch” ）。

通過簡單地單擊視圖中的任何事件，可以提供對Sysmon事件詳細信息的訪問，例如，上一個屏幕捕獲顯示了過程創建事件的詳細信息（事件ID 1），該工具還可以按需要按需進行Virustotal集成以進行進一步的哈希和IP查找（需要API密鑰註冊）。

地圖視圖：在事件導入過程中，可以選擇使用https://ipstack.com/ service geo-Locate IP地址（如果設置）。

在MAP視圖中，通過使用網絡事件作為起點，在相關的（相關）事件之間很容易導航，該工具可以使用運行過程會話GUID來實現此目標。為了探索相關事件，請使用“會話指南”的超鏈接，將出現與過程視圖類似的新視圖，其中包含所有相關會話事件的新窗口：

所有事件視圖也可以用於通過所有Sysmon收集的事件數據進行完整搜索，它還有助於查看與其他事件無關的事件，例如“驅動程序已加載”事件類型。除了事件詳細信息外，還通過單擊FID鏈接，還使用過程GUID提供了相關事件之間的導航

此外，所有事件視圖通過機器名稱，事件類型或GUID支持類似樞軸的事件佈置（分組），如下所示

多個分組級別也是可能的

Sysmon Shell可以通過簡單的GUI界面來幫助寫作和應用Sysmon XML配置。

Sysmon Shell還可以用來探索Sysmon可用的各種配置選項，輕鬆應用和更新XML配置，除了導出Sysmon事件日誌，簡而言之：

• Sysmon Shell可以加載Sysmon XML配置文件：當前版本支持所有Sysmon模式。 （該工具不會直接從註冊表加載任何配置，而只能從XML文件加載）。
• 它可以將最終XML導出/保存到文件。
• It can apply the generated XML configuration file by calling Sysmon.exe -c command directly (creating a temporary XML file in the same folder where Sysmon is installed), for this reason, if this feature is used, Sysmon Shell will require elevated privileges (the need for this is inherited from Sysmon process itself), the output of applying the configuration will be displayed in the preview pan (this is Sysmon generated output)
• XML配置可以在保存在預覽窗格中之前進行預覽
• 最後一個選項卡（標記為“日誌導出”）可能會方便地將SYSMON事件日誌快速導出到XML，以後可以與“ Sysmon View”一起用於事件分析，該導出具有三個選項：
  • 僅導出
  • 導出和清除Sysmon事件日誌
  • 導出，備份EVTX文件並清除事件日誌
• 該實用程序對從Sysmon Sysinternals主頁（https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon）中獲取的所有事件類型都有描述
• Sysmon Shell與其他安全專業人員創建的許多Sysmon配置模板捆綁在一起

它不會做的事情：警告您包括/排除衝突或嘗試驗證規則本身，但是，一旦應用了配置，預覽窗格將顯示從Sysmon.exe捕獲的輸出時（ Sysmon -c command的輸出），可以從哪些錯誤中識別出哪些錯誤

Sysmon Box是一個小型實用程序，可以幫助構建捕獲的Sysmon和網絡流量的數據庫。

要運行Sysmon框，請使用以下命令（Sysmon需要與TSHARK一起啟動並運行）：

SysmonBox -in Wi-Fi

然後，該工具將執行以下操作：

• 開始捕獲流量（在後台使用TSHARK，這就是為什麼您必須指定捕獲接口的原因），完成後，按CTRL + C結束會話
• 然後，Sysmon Box將停止捕獲流量，將所有捕獲的數據包傾倒到文件中，並使用EVT實用程序在會話的開始和結束時間之間導出Sysmon日誌
• 構建具有從系統和捕獲的流量導入的日誌的Sysmon View數據庫（備份現有）文件，您要做的就是從同一文件夾中運行sysmon視圖，或將數據庫文件（SYSMONVIEWDB）放在與SYSMON視圖的同一文件夾中

• 您可以在我的博客https://nosecurecode.com/上閱讀有關Sysmon View＆Sysmon Shell的更多信息。
• 以下是有關sysmon和sysmon視圖https://www.fwhibbit.es/sysmon-the-big-brother-windows-windows-and-windows-and-the-super-sysmonview

 Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi.