Der System Monitor Service & Driver (kurz Sysmon) protokolliert eine Vielzahl von Ereignissen - meist als Reaktion auf Prozessaktivitäten, die auf einem System auftreten - im Microsoft-Windows-Sysmon/Operational-Ereignisprotokoll. Sysmon-Ereignisse ähneln den 4688- und 4689-Ereignissen, die von Windows beim Starten und Beenden eines Prozesses im Sicherheitsereignisprotokoll protokolliert werden. Die von Sysmon erzeugten Ereignisse sind jedoch wesentlich detaillierter und decken andere Bereiche ab, wie z.B. Netzwerkaktivität, Dateischreibaktivität und mehr.
Wenn Sysmon für die Protokollierung der Netzwerkaktivität konfiguriert ist, protokolliert es ein Ereignis immer dann, wenn ein Windows-Prozess eine Netzwerkverbindung herstellt:
Sysmon logs network activity by slack.exe
Wenn aktiviert, fängt EventSentry die Ereignis-ID 3 aus dem Microsoft-Windows-Sysmon/Operational-Ereignisprotokoll ab, die angibt, dass ein lokaler Prozess eine Netzwerkverbindung erstellt hat. Diese Daten werden mit den Prozessverfolgungsdaten korreliert, die aus dem Windows-Sicherheitsereignisprotokoll gesammelt wurden und in den Web Reports verfügbar sind. Wenn Sysmon-Daten für einen Prozessverfolgungseintrag verfügbar sind, dann wird in den Web Reports neben der PID ein schwarzes Plus-Symbol angezeigt.
Wenn EventSentry so konfiguriert ist, dass es auch NetFlow-Daten erfasst, können die von Sysmon bereitgestellten Daten zur Untersuchung des vom Prozess erzeugten zugehörigen Netzwerkverkehrs verwendet werden. Jede Zeile im Sysmon-Bericht enthält einen Link zum NetFlow History-Bericht.
Sysmon Installation
Sysmon kann von https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#configuration-files heruntergeladen und mit folgendem Befehl von der Kommandozeile aus installiert werden:
Sysmon64.exe -accepteula -i -n
Der -n-Switch ist wichtig, da er Sysmon anweist, die Netzwerkaktivität von Prozessen zu protokollieren. Ersetzen Sie "Sysmon64.exe" durch "Sysmon.exe" auf 32-Bit-Systemen. Ungeachtet dessen, was in der offiziellen Dokumentation angegeben ist, ist oft ein Neustart erforderlich, um die Protokollierung der Ereignis-ID 3 zu aktivieren.
Um zu überprüfen, ob Sysmon korrekt installiert und konfiguriert wurde, führen Sie sysmon64 -c aus, das eine ähnliche Ausgabe wie die unten gezeigte liefern sollte:
System Monitor v7.03 - System activity monitor
Copyright (C) 2014-2018 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com
Current configuration:
- Service name: Sysmon64
- Driver name: SysmonDrv
- HashingAlgorithms: SHA1
- Network connection: enabled
- Image loading: disabled
- CRL checking: disabled
- Process Access: disabled
Es ist wichtig das Network connection "enabled" anzeigt.
|
NETIKUS.NET ltd und EventSentry sind in keiner Weise mit Sysinternals verbunden und sind nicht in der Lage, Support für das Dienstprogramm Sysmon zu leisten. |
