Sysmon是一個老牌安全工具，自去年發布新功能后越發地強大，在我們勘驗現場中，尤其是勘驗被入侵現場有著非常明顯的優勢，實為利器，推薦給大家。

一、Sysmon是什么

系統監視器（Sysmon）是一種Windows系統服務和設備驅動程序，一旦安裝在系統上，就會在系統重新啟動時保持駐留狀態，以監視和記錄系統活動到Windows事件日志中。

它提供有關進程創建，網絡連接，文件創建時間更改等詳細信息。

通過使用Windows事件收集或SIEM代理收集它生成的事件并隨后對其進行分析，可以識別惡意或異常活動，并了解入侵者和惡意軟件如何在用戶網絡上運行。

需要注意的是，Sysmon不會對其生成的事件進行分析，也不會嘗試保護自己免受攻擊者攻擊，因此僅作為監控工具而存在，允許其監視計算機上的某些活動并將其記錄到Windows事件查看器。

在打開應用或者任何進程創建的行為發生時，Sysmon 會使用sha1（默認）、MD5、SHA256 或 IMPHASH 記錄進程鏡像文件的 hash 值，包含進程創建過程中的進程 GUID，每個事件中包含 session 的 GUID。除此之外記錄磁盤和卷的讀取請求 / 網絡連接（包括每個連接的源進程，IP 地址，端口號，主機名和端口名），重要的是還可在生成初期進程事件能記錄在復雜的內核模式運行的惡意軟件。

二、下載、安裝

下載：https://live.sysinternals.com/sysmon.exe

運行：

配置文件：

在實際生產環境應用時，根據不同的配置，這時候自定義監控規則顯得尤為重要，又由于避免產生龐大的數據記錄，需要通過精簡配置來達到高效率日志生成。

Sysmon 提供了xml 格式的配置文件來讓用戶自定義過濾規則，配置文件的東西比較多，這里提供一個“使用預制的Sysmon配置文件來檢測惡意流量和威脅”，可參考https://github.com/SwiftOnSecurity/sysmon-config

安裝：

安裝成功！

三、事件ID表

四、舉例應用

比如在服務器發現了遺留的mimikatz.exe程序。

眾所周知，mimikatz常用來獲取管理員密碼；我們圍繞它來看Sysmon能做哪些工作，挖出mimikatz的運行情況：

首先，使用內置的WEVTUtil工具將Sysmon事件導出到XML文件，使用命令如下所示：

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

其次，運行Sysmon View并導入生成的eventlog.xml文件；

第三，用Sysmon View搜索mimikatz：

通過“Process View”看到了mimikatz.exe所在的位置以及GUID，發現mimikatz.exe是通過cmd.exe來加載運行，時間為2020-06-15 22:59:29（+8）;

?發現有六個動作，三個文件創建，三個進程創建；

通過“All Events View”看到了mimikatz.exe的前因后果，我這里是從winrar中先解壓后到cmd命令行窗口下運行mimikatz.exe，時間一致；

第四，我們再換種在事件中查看上上述的動作：

在EventViewer->Applications and Services ->Microsoft->Windows->Sysmon即可找到 Sysmon 監控得到的日志；?

同樣，能發現mimikatz的動作；

雖然效果是一樣的，但這個就沒有Sysmon View工具看得連貫、一目了然了。

在現場中勘驗中，Sysmon還是非常得力的，而且關聯性很強，能夠很好地記錄下、反映出現場當時的情況，有助于我們分析，還有其它很強大的功能，不一一介紹，自己用吧。

總結

以上是生活随笔為你收集整理的Sysmon勘验、分析现场（主机监控）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。