sysmon使用实践
简介
Sysmon是微软提供的系统事件记录工具,可以记录进程、网络、文件等行为,能够在事件查看器中查看结果,经过规则文件控制要采集的内容。在使用的工做中主要存在如下几个问题:git
- 规则文件编写复杂,采集少了监控不到恶意行为,采集多了系统负载过大
- 事件查看器难用,结果数据分析困难
- 黑客入侵后,删除日志,没法进行分析
如下给出已经找到的几个解决方案,后面章节对各个部分进行介绍。
| 问题 | 解决方式 |
|---|---|
| 规则编写困难 | 使用网上别人写好的规则文件,在此基础上优化 使用sysmon shell辅助规则编写 |
| 数据分析困难 | 使用splunk进行数据分析 使用sysmon view进行数据分析 |
| 日志被黑客删除 | 使用splunk同步、备份数据 |
安装
| 经常使用命令 | 说明 |
|---|---|
| sysmon -i | 最基本的安装命令 |
| sysmon.exe -accepteula -i sysmonconfig-export.xml | 指定规则文件安装 |
| sysmon.exe -c sysmonconfig-export.xml | 更新配置 |
| sysmon.exe -u | 卸载 |
过滤规则
Sysmon shell
直接阅读规则说明文档的比较难以理解,经过sysmon
shell工具能够较好的理解sysmon规则。github
Sysmon基本的对象是even,好比process Create、Network
Connect等,这些对象包含一些属性,过滤规则就是对这些动做的属性的值进行筛选。
须要选的事件的属性做为操做对象,填写这些对象须要知足包含什么值等(有不少条件),最后选择include或者exclude动做,对前面选择的条件进行包含或者排除操做。shell
比较常见的是把一些容易感染的进程(如http),病毒行为特征加入到include规则中,进行监控,
把一些不太可能感染的,系统自带的默认会产生大量事件的进行进入到exclude规则中,进行排除,以达到性能和效果的平衡。windows
在完成sysmon的安装和数据采集后,主要的工做就是对规则进行调整和数据分析。网络
开源的规则
- Github上有一些开源的已经优化的较好的规则能够直接使用,见第5章参考地址
- Sysmon shell提供了一些规则,两个大的项目与github公布的规则是相同的。
结果展现
事件查看器
安装sysmon后,结果能够在事件查看器中查看。具体操做:控制面板>管理工具>事件查看器>应用程序和服务日志>microsoft>Windows>Sysmon>Operationsapp
以下图所示:工具
开启sysmon采集后存在两个问题,一是黑客入侵后,每每会删除日志,二是windows的事件查看器极其难用,数据分析比较困难。
能够经过引入第三方工具来解决。性能
| 工具 | 说明 |
|---|---|
| Splunk | 实时采集数据到服务端,解决日志备份问题。 提供简单易用的日志搜索,解决数据分析困难问题。 |
| Sysmon view | 图形化展现事件关系,解决数据分析困难问题 |
Splunk配置
Splunk经过安装数据转发agent,指定要采集的数据,传送的服务端,来进行日志同步、备份。须要配置步骤以下:优化
- 安装splunkforwarder转发器
- 修改配置文件,指定要采集的日志内容和索引。修改:
C:\Program
Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\default路径下的inputs.conf文件。输入如下内容(修改完后重启splunk客户端):spa
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = false
renderXml = true
index = sysmon_test
其中index为索引名,能够自定义。
- 在splunk服务端添加索引sysmon_test,进行接收。
若是服务端第一次接收sysmon日志,须要安装插件“Add-on for
MicrosoftSysmon”,用于解析sysmon格式的数据。
https://splunkbase.splunk.com...
- 在splunk中经过 index=” sysmon_test” 搜索数据。
Sysmon view
下载地址:https://github.com/nshalabi/S...
须要将事件查看器中的日志导出为XML文件进行分析,简单易用。结果以下图所示:
参考
Github比较好的项目参考。
| 说明 | 项目地址 |
|---|---|
| Sysmon相关资源集合,包含了下面几个项目,以及比较好的文章 | https://github.com/MHaggis/sy... |
| 已经写好的较为通用的规则 | https://github.com/ion-storm/... |
| 已经写好的较为通用的规则 | https://github.com/SwiftOnSec... |
| Sysmon相关的三个辅助工具 | https://github.com/nshalabi/S... |
后续工做
- 规则自适应,经过采集几天的日志进行数据分析,自动优化规则,将频繁产生日志的进程自动加入到排除规则中。
- 1. Sysmon
- 2. 用powershell获取sysmon日志
- 3. git使用实践
- 4. nginx 使用实践
- 5. adb使用实践
- 6. AutoMapper 使用实践
- 7. 【实践】MAT使用
- 8. EventBus—使用实践
- 9. Git使用实践
- 10. 使用Sysmon和Splunk探测网络环境中横向渗透
- 更多相关文章...
- • Thymeleaf项目实践 - Thymeleaf 教程
- • TortoiseSVN 使用教程 - SVN 教程
- • TiDB 在摩拜单车在线数据业务的应用和实践
- • Java Agent入门实战(一)-Instrumentation介绍与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Duang!超快Wi-Fi来袭
- 2. 机器学习-补充03 神经网络之**函数(Activation Function)
- 3. git上开源maven项目部署 多module maven项目(多module maven+redis+tomcat+mysql)后台部署流程学习记录
- 4. ecliple-tomcat部署maven项目方式之一
- 5. eclipse新导入的项目经常可以看到“XX cannot be resolved to a type”的报错信息
- 6. Spark RDD的依赖于DAG的工作原理
- 7. VMware安装CentOS-8教程详解
- 8. YDOOK:Java 项目 Spring 项目导入基本四大 jar 包 导入依赖,怎样在 IDEA 的项目结构中导入 jar 包 导入依赖
- 9. 简单方法使得putty(windows10上)可以免密登录树莓派
- 10. idea怎么用本地maven
- 1. Sysmon
- 2. 用powershell获取sysmon日志
- 3. git使用实践
- 4. nginx 使用实践
- 5. adb使用实践
- 6. AutoMapper 使用实践
- 7. 【实践】MAT使用
- 8. EventBus—使用实践
- 9. Git使用实践
- 10. 使用Sysmon和Splunk探测网络环境中横向渗透