Sysmon v13.34

Nach Mark Russinovich und Thomas Garnier

Veröffentlicht: 11. Mai 2022

DownloadSysmon herunterladen(3.1 MB)

Sysmon für Linux herunterladen (GitHub)

Einführung

SystemMonitor (Sysmon) ist ein Windows Systemdienst- und Gerätetreiber, der nach der Installation auf einem System über Systemneustarts verfügt, um die Systemaktivität im Windows Ereignisprotokoll zu überwachen und zu protokollieren. Er enthält ausführliche Informationen zu Prozesserstellungen, Netzwerkverbindungen und Änderungen an der Dateierstellungszeit. Durch die Erfassung der Ereignisse, die sie mit Windows Event Collection- oder SIEM-Agents generiert, und anschließend analysieren, können Sie böswillige oder anomaliehafte Aktivitäten identifizieren und verstehen, wie Eindringlinge und Schadsoftware in Ihrem Netzwerk funktionieren.

Beachten Sie, dass Sysmon keine Analyse der generierten Ereignisse bereitstellt oder versucht, sich vor Angreifern zu schützen oder auszublenden.

Übersicht über Sysmon-Funktionen

Sysmon enthält die folgenden Funktionen:

  • Protokolliert die Prozesserstellung mit voller Befehlszeile sowohl für aktuelle als auch für übergeordnete Prozesse.
  • Zeichnet den Hash von Prozessbilddateien mithilfe von SHA1 (standard), MD5, SHA256 oder IMPHASH auf.
  • Mehrere Hashes können gleichzeitig verwendet werden.
  • Enthält eine Prozess-GUID im Prozesserstellungsereignisse, um die Korrelation von Ereignissen auch dann zu ermöglichen, wenn Windows Prozess-IDs wiederverwendet.
  • Enthält eine Sitzungs-GUID in jedem Ereignis, um die Korrelation von Ereignissen in derselben Anmeldesitzung zu ermöglichen.
  • Protokolliert das Laden von Treibern oder DLLs mit ihren Signaturen und Hashes.
  • Protokolle werden für den unformatierten Lesezugriff auf Datenträger und Volumes geöffnet.
  • Protokolliert optional Netzwerkverbindungen, einschließlich des Quellprozesses der einzelnen Verbindungen, IP-Adressen, Portnummern, Hostnamen und Portnamen.
  • Erkennt Änderungen an der Dateierstellungszeit, um zu verstehen, wann eine Datei wirklich erstellt wurde. Die Änderung von Zeitstempeln der Datei ist eine Technik, die häufig von Schadsoftware verwendet wird, um ihre Spuren abzudecken.
  • Die Konfiguration wird automatisch neu geladen, wenn dies in der Registrierung geändert wurde.
  • Regelfilterung, um bestimmte Ereignisse dynamisch einzuschließen oder auszuschließen.
  • Generiert Ereignisse aus dem frühen Startprozess, um Aktivitäten zu erfassen, die von sogar anspruchsvoller Kernelmodus-Schadsoftware erstellt wurden.

Screenshots

EventViewer

Verwendung

Allgemeine Verwendung mit einfachen Befehlszeilenoptionen zum Installieren und Deinstallieren von Sysmon sowie zum Überprüfen und Ändern der Konfiguration:

Installieren: sysmon64 -i [<configfile>]
Updatekonfiguration: sysmon64 -c [<configfile>]
Ereignismanifest installieren: sysmon64 -m
Druckschema: sysmon64 -s
Deinstallieren: sysmon64 -u [force]

Parameter BESCHREIBUNG
-i Installieren Sie Dienst und Treiber. Nehmen Sie optional eine Konfigurationsdatei an.
-c Aktualisieren Sie die Konfiguration eines installierten Sysmon-Treibers oder dumpen Sie die aktuelle Konfiguration, wenn kein anderes Argument bereitgestellt wird. Optional wird eine Konfigurationsdatei verwendet.
-m Installieren Sie das Ereignismanifest (implizit auch bei der Dienstinstallation erledigt).
-s Definition des Druckkonfigurationsschemas.
-u Deinstallieren Sie Dienst und Treiber. Die Verwendung führt -u force dazu, dass die Deinstallation fortgesetzt wird, auch wenn einige Komponenten nicht installiert sind.

Der Dienst protokolliert sofort Ereignisse, und der Treiber wird als Starttreiber installiert, um Aktivitäten von anfang am Anfang des Startvorgangs zu erfassen, den der Dienst beim Starten in das Ereignisprotokoll schreibt.

Auf Vista und höher werden Ereignisse gespeichert Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Bei älteren Systemen werden Ereignisse in das System Ereignisprotokoll geschrieben.

Wenn Sie weitere Informationen zu Konfigurationsdateien benötigen, verwenden Sie den -? config Befehl.

Geben Sie -accepteula an, dass die EULA bei der Installation automatisch akzeptiert wird, andernfalls werden Sie interaktiv aufgefordert, sie zu akzeptieren.

Weder installieren noch deinstallieren erfordert einen Neustart.

Beispiele

Installieren mit Standardeinstellungen (Prozessimages mit SHA1 und keine Netzwerküberwachung)

sysmon -accepteula -i

Installieren von Sysmon mit einer Konfigurationsdatei (wie unten beschrieben)

sysmon -accepteula -i c:\windows\config.xml

Deinstallieren

sysmon -u

Abbilden der aktuellen Konfiguration

sysmon -c

Neukonfiguration eines aktiven Sysmons mit einer Konfigurationsdatei (wie unten beschrieben)

sysmon -c c:\windows\config.xml

Ändern der Konfiguration in Standardeinstellungen

sysmon -c --

Anzeigen des Konfigurationsschemas

sysmon -s

Events

Auf Vista und höher werden Ereignisse gespeichert, und ältere Systemereignisse werden in Applications and Services Logs/Microsoft/Windows/Sysmon/Operationaldas Systemereignisprotokoll geschrieben. Ereigniszeitstempel befinden sich in UTC-Standardzeit.

Im Folgenden sind Beispiele für jeden Ereignistyp aufgeführt, den Sysmon generiert.

Ereignis-ID 1: Prozesserstellung

Das Prozesserstellungsereignis stellt erweiterte Informationen zu einem neu erstellten Prozess bereit. Die vollständige Befehlszeile stellt Kontext für die Prozessausführung bereit. Das Feld "ProcessGUID" ist ein eindeutiger Wert für diesen Prozess in einer Domäne, um die Ereigniskorrelation zu vereinfachen. Der Hash ist ein vollständiger Hash der Datei mit den Algorithmen im HashType-Feld.

Ereignis-ID 2: Ein Prozess hat eine Dateierstellungszeit geändert.

Das Änderungszeitereignis für die Dateierstellung wird registriert, wenn eine Dateierstellungszeit explizit von einem Prozess geändert wird. Dieses Ereignis hilft beim Nachverfolgen der Echtzeiterstellung einer Datei. Angreifer können die Dateierstellungszeit einer Hintertür ändern, um es so aussehen zu lassen, als ob sie mit dem Betriebssystem installiert wurde. Beachten Sie, dass viele Prozesse die Erstellungszeit einer Datei legitim ändern; es weist nicht unbedingt auf böswillige Aktivitäten hin.

Ereignis-ID 3: Netzwerkverbindung

Das Netzwerkverbindungsereignis protokolliert TCP/UDP-Verbindungen auf dem Computer. Diese Einstellung ist standardmäßig deaktiviert. Jede Verbindung wird über die Felder "ProcessId" und "ProcessGUID" mit einem Prozess verknüpft. Das Ereignis enthält auch die Quell- und Zielhostnamen IP-Adressen, Portnummern und IPv6-Status.

Ereignis-ID 4: Sysmon-Dienststatus geändert

Das Änderungsereignis des Dienststatus meldet den Status des Sysmon-Diensts (gestartet oder beendet).

Ereignis-ID 5: Prozess beendet

Der Prozess beendet Ereignisberichte, wenn ein Prozess beendet wird. Es stellt die UtcTime-, ProcessGuid- und ProcessId des Prozesses bereit.

Ereignis-ID 6: Treiber geladen

Die geladenen Treiberereignisse enthalten Informationen zu einem Treiber, der auf dem System geladen wird. Die konfigurierten Hashes werden sowie Signaturinformationen bereitgestellt. Die Signatur wird asynchron aus Leistungsgründen erstellt und gibt an, ob die Datei nach dem Laden entfernt wurde.

Ereignis-ID 7: Bild geladen

Das Bild geladene Ereignisprotokolle, wenn ein Modul in einem bestimmten Prozess geladen wird. Dieses Ereignis ist standardmäßig deaktiviert und muss mit der Option "-l" konfiguriert werden. Er gibt den Prozess an, in dem das Modul geladen, Hashes und Signaturinformationen geladen wird. Die Signatur wird asynchron aus Leistungsgründen erstellt und gibt an, ob die Datei nach dem Laden entfernt wurde. Dieses Ereignis sollte sorgfältig konfiguriert werden, da die Überwachung aller Bildladeereignisse eine große Anzahl von Ereignissen generiert.

Ereignis-ID 8: CreateRemoteThread

Das CreateRemoteThread-Ereignis erkennt, wenn ein Prozess einen Thread in einem anderen Prozess erstellt. Diese Technik wird von Schadsoftware verwendet, um Code ein- und auszublenden in andere Prozesse. Das Ereignis gibt den Quell- und Zielprozess an. Es gibt Informationen zum Code, der im neuen Thread ausgeführt wird: StartAddress, StartModule und StartFunction. Beachten Sie, dass StartModule- und StartFunction-Felder abgeleitet werden, sie können leer sein, wenn die Startadresse außerhalb geladener Module oder bekannter exportierter Funktionen liegt.

Ereignis-ID 9: RawAccessRead

Das RawAccessRead-Ereignis erkennt, wenn ein Prozess Lesevorgänge vom Laufwerk mithilfe der \\.\ Anweisung durchführt. Diese Technik wird häufig von Schadsoftware zur Datenexfiltration von Dateien verwendet, die zum Lesen gesperrt sind, sowie zum Vermeiden von Dateizugriffsüberwachungstools. Das Ereignis gibt den Quellprozess und das Zielgerät an.

Ereignis-ID 10: ProcessAccess

Der Zugriff auf ereignisse meldet, wenn ein Prozess einen anderen Prozess öffnet, ein Vorgang, der häufig von Informationsabfragen gefolgt ist, oder das Lesen und Schreiben des Adressraums des Zielprozesses. Dies ermöglicht die Erkennung von Hacking-Tools, die den Speicherinhalt von Prozessen wie der lokalen Sicherheitsbehörde (Lsass.exe) lesen, um Anmeldeinformationen für die Verwendung in Pass-the-Hash-Angriffen zu stehlen. Die Aktivierung kann erhebliche Mengen an Protokollierung generieren, wenn Diagnoseprogramme aktiv sind, die wiederholt Prozesse öffnen, um den Status abzufragen, sodass sie im Allgemeinen nur mit Filtern ausgeführt werden sollten, die erwartete Zugriffe entfernen.

Ereignis-ID 11: FileCreate

Dateierstellungsvorgänge werden protokolliert, wenn eine Datei erstellt oder überschrieben wird. Dieses Ereignis ist nützlich für die Überwachung von Autostartspeicherorten wie dem Startordner sowie temporären und Downloadverzeichnissen, die häufig vorkommen, dass Schadsoftware während der anfänglichen Infektion abfällt.

Ereignis-ID 12: RegistryEvent (Objekt erstellen und löschen)

Registrierungsschlüssel und Werterstellungs- und Löschvorgänge werden diesem Ereignistyp zugeordnet, was hilfreich sein kann, um Änderungen an den Automatischstartspeicherorten der Registrierung oder bestimmte Änderungen an der Schadsoftwareregistrierung zu überwachen.

Sysmon verwendet gekürzte Versionen von Registrierungsstammschlüsselnamen mit den folgenden Zuordnungen:

Schlüsselname Abkürzung
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR

Ereignis-ID 13: RegistryEvent (Wertsatz)

Dieser Registrierungsereignistyp identifiziert Registrierungswertänderungen. Das Ereignis zeichnet den Wert auf, der für Registrierungswerte vom Typ DWORD und QWORD geschrieben wurde.

Ereignis-ID 14: RegistryEvent (Schlüssel und Wert umbenennen)

Registrierungsschlüssel und Wertbenennungsvorgänge werden diesem Ereignistyp zugeordnet, wobei der neue Name des schlüssels oder werts aufgezeichnet wird, der umbenannt wurde.

Ereignis-ID 15: FileCreateStreamHash

Dieses Ereignis protokolliert, wann ein benannter Dateidatenstrom erstellt wird, und es generiert Ereignisse, die den Hash des Inhalts der Datei protokollieren, dem der Datenstrom zugewiesen wird (der nicht benannte Datenstrom), sowie den Inhalt des benannten Datenstroms. Es gibt Schadsoftwarevarianten, die ihre ausführbaren Dateien oder Konfigurationseinstellungen über Browserdownloads ablegen, und dieses Ereignis zielt darauf ab, dies basierend auf dem Browser zu erfassen, der eine Zone.Identifier "Markierung des Webdatenstroms" anfügt.

Ereignis-ID 16: ServiceConfigurationChange

Dieses Ereignis protokolliert Änderungen in der Sysmon-Konfiguration , z. B. wenn die Filterregeln aktualisiert werden.

Ereignis-ID 17: PipeEvent (Pipe Created)

Dieses Ereignis generiert, wenn eine benannte Pipe erstellt wird. Schadsoftware verwendet häufig benannte Rohre für die Interprocesskommunikation.

Ereignis-ID 18: PipeEvent (Pipe Connected)

Dieses Ereignis protokolliert, wann eine benannte Pipeverbindung zwischen einem Client und einem Server hergestellt wird.

Ereignis-ID 19: WmiEvent (WmiEventFilter-Aktivität erkannt)

Wenn ein WMI-Ereignisfilter registriert ist, was eine Methode ist, die von Schadsoftware zum Ausführen verwendet wird, protokolliert dieses Ereignis den WMI-Namespace, den Filternamen und den Filterausdruck.

Ereignis-ID 20: WmiEvent (WmiEventConsumer-Aktivität erkannt)

Dieses Ereignis protokolliert die Registrierung von WMI-Verbrauchern, die Aufzeichnung des Verbrauchernamens, des Protokolls und des Ziels.

Ereignis-ID 21: WmiEvent (WmiEventConsumerToFilter-Aktivität erkannt)

Wenn ein Verbraucher eine Bindung an einen Filter angibt, protokolliert dieses Ereignis den Verbrauchernamen und den Filterpfad.

Ereignis-ID 22: DNSEvent (DNS-Abfrage)

Dieses Ereignis wird generiert, wenn ein Prozess eine DNS-Abfrage ausführt, ob das Ergebnis erfolgreich ist oder fehlschlägt, zwischengespeichert oder nicht. Die Telemetrie für dieses Ereignis wurde für Windows 8.1 hinzugefügt, sodass es für Windows 7 und früher nicht verfügbar ist.

Ereignis-ID 23: FileDelete (archivierte Datei löschen)

Eine Datei wurde gelöscht. Zusätzlich zum Protokollieren des Ereignisses wird die gelöschte Datei auch in der ArchiveDirectory (standardmäßig) C:\Sysmon gespeichert. Unter normalen Betriebsbedingungen kann dieses Verzeichnis auf eine unzumutbare Größe wachsen – siehe Ereignis-ID 26: FileDeleteDetected für ein ähnliches Verhalten, aber ohne die gelöschten Dateien zu speichern.

Ereignis-ID 24: ClipboardChange (Neuer Inhalt in der Zwischenablage)

Dieses Ereignis wird generiert, wenn sich der Inhalt der Systemablage ändert.

Ereignis-ID 25: ProcessTampering (Prozessbildänderung)

Dieses Ereignis wird generiert, wenn Verfahren zum Ausblenden von Techniken wie "hohl" oder "herpaderp" erkannt werden.

Ereignis-ID 26: FileDeleteDetected (Protokollierte Dateilöschung)

Eine Datei wurde gelöscht.

Ereignis-ID 255: Fehler

Dieses Ereignis wird generiert, wenn ein Fehler in Sysmon aufgetreten ist. Sie können auftreten, wenn das System schwer geladen ist und bestimmte Aufgaben nicht ausgeführt werden konnten oder ein Fehler im Sysmon-Dienst vorhanden ist. Sie können alle Fehler im Sysinternals-Forum oder über Twitter (@markrussinovich) melden.

Konfigurationsdateien

Konfigurationsdateien können nach den Konfigurationsschaltern -i (Installation) oder -c (Installation) angegeben werden. Sie erleichtern die Bereitstellung einer voreingestellten Konfiguration und das Filtern erfasster Ereignisse.

Eine einfache XML-Konfigurationsdatei sieht wie folgt aus:

Configuration file

Die Konfigurationsdatei enthält ein Schemaversion-Attribut auf dem Sysmon-Tag. Diese Version ist unabhängig von der Binärversion von Sysmon und ermöglicht die Analyse älterer Konfigurationsdateien. Sie können die aktuelle Schemaversion mithilfe der "-? config"-Befehlszeile. Konfigurationseinträge befinden sich direkt unter dem Sysmon-Tag und Filter befinden sich unter dem EventFiltering-Tag.

Konfigurationseinträge

Konfigurationseinträge ähneln Befehlszeilenschaltern und enthalten folgendes:

Konfigurationseinträge umfassen Folgendes:

Eingabe Wert BESCHREIBUNG
ArchiveDirectory String Name von Verzeichnissen bei Volumewurzeln, in die Kopier-on-Delete-Dateien verschoben werden. Das Verzeichnis ist mit einer System-ACL geschützt (Sie können PsExec aus Sysinternals verwenden, um auf das Verzeichnis zuzugreifen psexec -sid cmd). Standard: Sysmon
CheckRevocation Boolean Steuert Signatursperrüberprüfungen. Standardwert: True
CopyOnDeletePE Boolean Behält gelöschte ausführbare Bilddateien bei. Standardwert: False
CopyOnDeleteSIDs Zeichenfolgen Durch Trennzeichen getrennte Liste von Konto-SIDs, für die Dateilöschungen beibehalten werden.
CopyOnDeleteExtensions Zeichenfolgen Erweiterungen für Dateien, die beim Löschen beibehalten werden.
CopyOnDeleteProcesses Zeichenfolgen Prozessname(n), für die Dateilöschungen beibehalten werden.
DnsLookup Boolean Steuerelemente umgekehrte DNS-Nachschlagevorgänge. Standardwert: True
DriverName String Verwendet den angegebenen Namen für Treiber- und Dienstimages.
HashAlgorithms Zeichenfolgen Hashalgorithmus, der für Hashing angewendet werden soll. Algorithmen, die unterstützt werden, umfassen MD5, SHA1, SHA256, IMPHASH und * (alle). Standardwert: Keine

Befehlszeilenschalter verfügen über ihren Konfigurationseintrag, der in der Ausgabe "Sysmon-Verwendung" beschrieben ist. Parameter sind optional basierend auf dem Tag. Wenn ein Befehlszeilenschalter auch ein Ereignis aktiviert, muss er jedoch durch das Filtertag konfiguriert werden. Sie können den Wechsel von -s angeben, um sysmon das vollständige Konfigurationsschema zu drucken, einschließlich Ereignistags sowie die Feldnamen und Typen für jedes Ereignis. Beispiel: Hier ist das Schema für den RawAccessRead Ereignistyp:

<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">  
  <data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="ProcessGuid" inType="win:GUID"/>  
  <data name="ProcessId" inType="win:UInt32" outType="win:PID"/>  
  <data name="Image" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="Device" inType="win:UnicodeString" outType="xs:string"/>  
</event>  

Ereignisfiltereinträge

Mit der Ereignisfilterung können Sie generierte Ereignisse filtern. In vielen Fällen können Ereignisse laut sein und alles sammeln ist nicht möglich. Sie können beispielsweise nur für einen bestimmten Prozess an Netzwerkverbindungen interessiert sein, aber nicht alle. Sie können die Ausgabe auf dem Host filtern, um die zu sammelnden Daten zu reduzieren.

Jedes Ereignis verfügt über ein eigenes Filtertag unter dem EreignisFiltering-Knoten in einer Konfigurationsdatei:

id Tag Ereignis
1 ProcessCreate Prozesserstellung
2 FileCreateTime Zeit zum Erstellen von Dateien
3 NetworkConnect Netzwerkverbindung erkannt
4 n/a Sysmon-Dienststatusänderung (kann nicht gefiltert werden)
5 ProcessTerminate Beendeter Prozess
6 DriverLoad Treiber geladen
7 ImageLoad Bild geladen
8 CreateRemoteThread CreateRemoteThread erkannt
9 RawAccessRead RawAccessRead wurde erkannt
10 ProcessAccess Zugriff auf den Prozess
11 FileCreate Datei erstellt
12 RegistryEvent Registrierungsobjekt hinzugefügt oder gelöscht
13 RegistryEvent Registrierungswertsatz
14 RegistryEvent Registrierungsobjekt umbenannt
15 FileCreateStreamHash Dateidatenstrom erstellt
16 n/a Sysmon-Konfigurationsänderung (kann nicht gefiltert werden)
17 PipeEvent Benannte Rohre erstellt
18 PipeEvent Benannte Rohrverbindung
19 WmiEvent WMI-Filter
20 WmiEvent WMI-Verbraucher
21 WmiEvent WMI-Verbraucherfilter
22 DNSQuery DNS-Abfrage
23 FileDelete Archivierte Datei löschen
24 ZwischenablageChange Neuer Inhalt in der Zwischenablage
25 ProcessTampering Prozessbildänderung
26 FileDelete Erkannt Protokollierte Dateilöschung

Sie können diese Tags auch in der Ereignisanzeige im Aufgabennamen finden.

Der onmatch Filter wird angewendet, wenn Ereignisse übereinstimmen. Sie kann mit dem Attribut für das onmatch Filtertag geändert werden. Wenn der Wert lautet "include", bedeutet dies, dass nur übereinstimmene Ereignisse enthalten sind. Wenn das Ereignis auf "exclude""Festgelegt" festgelegt ist, wird das Ereignis mit Ausnahme einer Übereinstimmung der Regel eingeschlossen. Sie können sowohl einen Filtersatz als auch einen Ausschlussfiltersatz für jede Ereignis-ID angeben, bei der die Übereinstimmungen ausgeschlossen werden, die Vorrang haben.

Jeder Filter kann null oder mehr Regeln enthalten. Jedes Tag unter dem Filtertag ist ein Feldname aus dem Ereignis. Regeln, die eine Bedingung für denselben Feldnamen als OR-Bedingungen angeben, und diejenigen, die unterschiedliche Feldnamen angeben, verhalten sich als AND-Bedingungen. Feldregeln können auch Bedingungen verwenden, um einem Wert zu entsprechen. Die Bedingungen sind wie folgt (alle sind groß- und kleinschreibungsfähig):

Condition Beschreibung
is Standardwerte sind gleich
ist jeder Das Feld ist eine der ; getrennten Werte.
ist nicht Werte unterscheiden sich
contains Das Feld enthält diesen Wert.
enthält alle Elemente Das Feld enthält eine der ; getrennten Werte
enthält alle Das Feld enthält alle ; getrennten Werte.
Schließt Das Feld enthält diesen Wert nicht.
schließt alle Ausschlüsse aus Das Feld enthält keine oder mehrere der ; getrennten Werte.
Alle ausschließen Das Feld enthält keine der ; getrennten Werte.
beginnen mit Das Feld beginnt mit diesem Wert
Ende mit Das Feld endet mit diesem Wert
beginnen nicht mit Das Feld beginnt nicht mit diesem Wert.
nicht enden mit Das Feld endet nicht mit diesem Wert
kleiner als Lexicographical Vergleich ist kleiner als Null
mehr als Lexicographical Vergleich ist mehr als null
image Entspricht einem Bildpfad (vollständiger Pfad oder nur Bildname). Beispiel: lsass.exe wird übereinstimmen c:\windows\system32\lsass.exe

Sie können eine andere Bedingung verwenden, indem Sie sie als Attribut angeben. Dies schließt Netzwerkaktivitäten aus Prozessen mit iexplore.exe in ihrem Pfad aus:

<NetworkConnect onmatch="exclude">
  <Image condition="contains">iexplore.exe</Image>
</NetworkConnect>

Um Sysmon-Bericht zu haben, in dem die Regeleinstimmung dazu führte, dass ein Ereignis protokolliert wird, fügen Sie Namen zu Regeln hinzu:

<NetworkConnect onmatch="exclude">
  <Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>

Sie können sowohl Regeln als auch Regeln für dasselbe Tag verwenden, wobei die Außerkraftsetzung von Regeln ausgeschlossen wird. In einer Regel verfügen Filterbedingungen über OR-Verhalten.

In der zuvor gezeigten Beispielkonfiguration verwendet der Netzwerkfilter sowohl eine Einschließen- als auch ausschließende Regel, um Aktivitäten auf Port 80 und 443 von allen Prozessen zu erfassen, außer denen, die in ihrem Namen enthalten sind iexplore.exe .

Es ist auch möglich, die Art und Weise außer Kraft zu setzen, wie Regeln mithilfe einer Regelgruppe kombiniert werden, mit der der Regel-Kombinationstyp für ein oder mehrere Ereignisse explizit auf AND oder OR festgelegt werden kann.

Im folgenden Beispiel wird diese Verwendung veranschaulicht. In der ersten Regelgruppe wird ein Prozesserstellungsereignis generiert, wenn timeout.exe nur mit einem Befehlszeilenargument 100ausgeführt wird, aber ein Prozessendeereignis wird für die Beendigung von ping.exe und timeout.exe.

  <EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>

DownloadSysmon herunterladen(3.1 MB)

Wird ausgeführt:

  • Client: Windows 8.1 und höher.
  • Server: Windows Server 2012 und höher.