Sysmon v13.30

Szerző: Mark Russinovich és Thomas Garnier

Közzétett: 2021. október 26.

ASysmon letöltése(2,9 MB)

Bevezetés

A Rendszerfigyelő(Sysmon)egy Windows-rendszerszolgáltatás és -eszközillesztő, amely a rendszerre való telepítés után a rendszer újraindításai során is állandó marad a rendszertevékenység figyelése és a Windows eseménynaplóba való naplózása érdekében. Részletes információkat nyújt a folyamatok létrehozásáról, a hálózati kapcsolatokról és a fájlkészítési idő változásairól. A generált eseményeknek az Windows Event Collection vagy SIEM-ügynökök használatával való gyűjtésével, majd azok elemzésével azonosíthatja a rosszindulatú vagy rendellenes tevékenységeket, és megértheti, hogyan működnek a támadók és a kártevők a hálózaton.

Vegye figyelembe, hogy a Sysmon nem nyújt elemzést a generált eseményekről, és nem kíséreli meg megvédeni vagy elrejteni magát a támadók elől.

A Sysmon képességeinek áttekintése

A Sysmon a következő képességeket tartalmazza:

  • Az aktuális és a szülőfolyamatok teljes parancssori használatával naplózza a folyamat létrehozását.
  • A folyamatképfájlok kivonatát rögzíti SHA1 (alapértelmezett), MD5, SHA256 vagy IMPHASH használatával.
  • Egyszerre több hashe is használható.
  • Folyamat-létrehozási események folyamat-GUID azonosítóját tartalmazza, amely akkor is lehetővé teszi az események korrelációját, Windows a folyamat azonosítóit.
  • Minden eseményhez tartozik egy munkamenet GUID-ja, amely lehetővé teszi az események korrelációját egy adott bejelentkezési munkamenetben.
  • Az illesztőprogramok vagy a DLL-ek betöltését naplózza az aláírásokkal és a hashekkel együtt.
  • A naplók megnyitják a lemezek és kötetek nyers olvasási hozzáférését.
  • Igény szerint naplózza a hálózati kapcsolatokat, beleértve az egyes kapcsolatok forrásfolyamatait, IP-címeit, portszámait, állomásneveit és portneveit.
  • Észleli a fájl létrehozási ideje változásait, hogy megértse, mikor jött létre valójában egy fájl. A fájl-létrehozási időbélyegek módosítása egy olyan módszer, amelyet a kártevők gyakran használnak a nyomok fedezésére.
  • Konfiguráció automatikus újratöltése, ha módosul a beállításjegyzékben.
  • Szabályszűrés bizonyos események dinamikus be- vagy kizárására.
  • Eseményeket generál a rendszerindítási folyamat elejétől a kifinomult kernelmódú kártevők által végzett tevékenységek rögzítéséhez.

Képernyőképek

EventViewer

Használat

Gyakori használat egyszerű parancssori beállításokkal a Sysmon telepítéséhez és eltávolításához, valamint konfigurációjának ellenőrzéséhez és módosításához:

Telepíteni: sysmon64 -i [<configfile>]
Konfiguráció frissítése: sysmon64 -c [<configfile>]
Eseményjegyzék telepítése: sysmon64 -m
Nyomtatási séma: sysmon64 -s
Uninstall: sysmon64 -u [force]

Paraméter Leírás
-i Telepítse a szolgáltatást és az illesztőt. Szükség esetén egy konfigurációs fájlt is bevesz.
-c Egy telepített Sysmon-illesztőprogram konfigurációjának frissítése vagy az aktuális konfiguráció kiírása, ha nincs más argumentum. Szükség esetén egy konfigurációs fájlt is bevesz.
-m Telepítse az eseményjegyzéket (implicit módon a szolgáltatás telepítésekor is).
-s Nyomtatási konfigurációs séma definíciója.
-u Távolítsa el a szolgáltatást és az illesztőt. A -u force használatának hatására az eltávolítás akkor is folytatódik, ha egyes összetevők nincsenek telepítve.

A szolgáltatás azonnal naplózza az eseményeket, és az illesztő rendszerindítási illesztőprogramként lesz telepítve, hogy a rendszer a rendszerindítás korai szakaszában rögzítse a tevékenységet, amit a szolgáltatás az eseménynaplóba fog írni annak kezdetekor.

A Vista és újabb verziókban az események a következőn vannak Applications and Services Logs/Microsoft/Windows/Sysmon/Operational tárolva: . A régebbi rendszereken az események az System eseménynaplóba vannak írva.

Ha további információra van szüksége a konfigurációs fájlokkal kapcsolatban, használja az -? config parancsot.

Adja meg, hogy a rendszer automatikusan elfogadja-e a EULA-t a telepítéskor, ellenkező esetben a rendszer interaktív módon felkéri -accepteula annak elfogadására.

Sem a telepítéshez, sem az eltávolításhoz nem szükséges újraindítás.

Példák

Telepítés alapértelmezett beállításokkal (SHA1-sel kivonatolt lemezképek feldolgozása hálózatfigyelés nélkül)

sysmon -accepteula -i

Telepítse a Sysmont egy konfigurációs fájllal (az alábbiakban leírtak szerint)

sysmon -accepteula -i c:\windows\config.xml

Eltávolítás

sysmon -u

Az aktuális konfiguráció kiírása

sysmon -c

Konfigurálja újra az aktív Sysmont egy konfigurációs fájllal (az alábbiakban leírtak szerint)

sysmon -c c:\windows\config.xml

Módosítsa a konfigurációt az alapértelmezett beállításokra

sysmon -c --

A konfigurációs séma megjelenítése

sysmon -s

Események

A Vista és újabb rendszereken az események a -ban vannak tárolva, a régebbi rendszerek eseményei pedig a rendszer Applications and Services Logs/Microsoft/Windows/Sysmon/Operational eseménynaplóba vannak írva. Az esemény-időbélyegek utc szerinti időzónában vannak megadva.

Az alábbiakban példákat talál a Sysmon által generált egyes eseménytípusra.

1. eseményazonosító: Folyamat létrehozása

A folyamat-létrehozási esemény kibővített információkat biztosít az újonnan létrehozott folyamatról. A teljes parancssor kontextust biztosít a folyamat végrehajtására vonatkozóan. A ProcessGUID mező egy egyedi érték ehhez a folyamathoz egy tartományban az esemény korrelációja érdekében. A kivonat a fájl teljes kivonata, a HashType mezőben található algoritmusokkal.

2. eseményazonosító: A folyamat módosította a fájl létrehozásának idejét

A módosítási fájl létrehozási idő eseménye akkor lesz regisztrálva, amikor egy folyamat kifejezetten módosít egy fájl létrehozási idejét. Ez az esemény segít nyomon követni egy fájl valós létrehozási idejét. A támadók módosíthatják a backdoor fájlkészítési idejét, hogy úgy nézzen ki, mintha az operációs rendszerrel együtt lett telepítve. Vegye figyelembe, hogy számos folyamat szabályosan módosítja egy fájl létrehozási idejét; nem feltétlenül jelez kártékony tevékenységet.

Eseményazonosító: 3: Hálózati kapcsolat

A hálózati kapcsolat eseménynaplózza a TCP/UDP-kapcsolatokat a gépen. Ez alapértelmezés szerint le van tiltva. Minden kapcsolat egy folyamathoz kapcsolódik a ProcessId és a ProcessGUID mezőkkel. Az esemény tartalmazza a forrás- és cél gazdagépneveket IS IP-címek, portszámok és IPv6-állapotok.

Eseményazonosító: 4: A Sysmon szolgáltatás állapota megváltozott

A szolgáltatásállapot-módosítási esemény a Sysmon szolgáltatás (elindított vagy leállított) állapotát jelenti.

Eseményazonosító: 5: A folyamat leállt

A folyamat megszakítja az eseményjelentéseket, amikor egy folyamat leáll. A folyamat UtcTime, ProcessGuid és ProcessId adatait biztosítja.

6. eseményazonosító: Illesztőprogram betöltve

Az illesztőprogram által betöltött események információt szolgáltatnak a rendszerbe betöltött illesztőprogramról. A konfigurált hashe-ket és aláírási adatokat is meg kell adni. Az aláírás teljesítménybeli okokból aszinkron módon jön létre, és jelzi, hogy a fájl el lett-e távolítva a betöltés után.

Eseményazonosító: 7: Kép betöltve

A rendszerkép akkor tölt be eseménynaplókat, amikor egy modult egy adott folyamatban töltöttek be. Ez az esemény alapértelmezés szerint le van tiltva, és az –l kapcsolóval kell konfigurálni. Azt a folyamatot jelzi, amelyben a modul betöltődik, valamint a hashek és az aláírás adatai. Az aláírás teljesítménybeli okokból aszinkron módon jön létre, és jelzi, hogy a fájl el lett-e távolítva a betöltés után. Ezt az eseményt körültekintően kell konfigurálni, mivel az összes képbetöltési esemény monitorozása nagy számú eseményt hoz létre.

Eseményazonosító: 8: CreateRemoteThread

A CreateRemoteThread esemény észleli, ha egy folyamat létrehoz egy szálat egy másik folyamatban. Ezzel a technikával a kártevők kódot injektálnak és elrejtik más folyamatokban. Az esemény a forrás- és célfolyamatot jelzi. Információkat nyújt az új szálon futtatott kódról: StartAddress, StartModule és StartFunction. Vegye figyelembe, hogy a StartModule és a StartFunction mezők kikövetkeztetve üresek lehetnek, ha a kezdőcím a betöltött modulokon vagy ismert exportált függvényeken kívül esik.

Eseményazonosító: 9: RawAccessRead

A RawAccessRead esemény észleli, ha egy folyamat olvasási műveleteket végez a meghajtóról a \\.\ jelölés használatával. Ezt a technikát gyakran használják kártevők az olvasásra zárolt fájlok adatszivárgására, valamint a fájlelérési naplózási eszközök elkerülésére. Az esemény jelzi a forrásfolyamatot és a céleszközt.

Eseményazonosító: 10: ProcessAccess

A folyamat által elért esemény akkor jelenti a jelentést, ha egy folyamat megnyit egy másik folyamatot. Ezt a műveletet gyakran információs lekérdezések követik, vagy a célfolyamat címtérének olvasása és írása követi. Ez lehetővé teszi a feltörési eszközök észlelését, amelyek beolvassák az olyan folyamatok memóriatartalmait, mint a Helyi biztonsági szervezet (Lsass.exe), hogy ellopják a hitelesítő adatokat a pass-the-hash típusú támadásokhoz. A engedélyezése jelentős mennyiségű naplózást generálhat, ha vannak aktív diagnosztikai segédprogramok, amelyek ismételten megnyitnak folyamatokat az állapotuk lekérdezéséhez, ezért általában csak olyan szűrőkkel kell ezt tenni, amelyek eltávolítják a várt hozzáférést.

Eseményazonosító: 11: FájlLétrehozás

A fájl létrehozási műveleteit a rendszer a fájlok létrehozásakor vagy felülíráskor naplózza. Ez az esemény hasznos lehet az automatikus indítási helyek, például az Indítási mappa, valamint az ideiglenes és letöltési könyvtárak figyelése esetén, amelyek gyakoriak a kártevők elejtése során a kezdeti fertőzés során.

Eseményazonosító: 12: RegistryEvent (Objektum létrehozása és törlése)

A beállításkulcsok és -értékek létrehozási és törlési műveletei erre az eseménytípusra vannak leképezve, ami hasznos lehet a beállításjegyzék automatikus indítási helyének változásai vagy a kártevő-beállításjegyzék adott módosításainak figyelése során.

A Sysmon a beállításjegyzék gyökérkulcsnevének rövidített verzióit használja az alábbi leképezésekkel:

Kulcs neve Rövidítés
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR

Eseményazonosító: 13: RegistryEvent (Értékhalmaz)

Ez a beállításjegyzékbeli eseménytípus azonosítja a beállításazonosítók módosításait. Az esemény a DWORD és QWORD típusú beállításazonosítókhoz írt értéket rögzíti.

Eseményazonosító: 14: RegistryEvent (kulcs és érték átnevezése)

A beállításkulcs és az érték átnevezése művelet erre az eseménytípusra van leképezve, amely rögzíti a kulcs vagy az átnevezett érték új nevét.

15-ös eseményazonosító: FileCreateStreamHash

Ez az esemény naplózza, amikor elnevezett fájlstream jön létre, és olyan eseményeket hoz létre, amelyek naplózják annak a fájlnak a kivonatát, amelyhez a stream hozzá van rendelve (a név nélküli stream), valamint a megnevezett stream tartalmát. Vannak olyan kártevő-változatok, amelyek böngészőletöltések útján eldobják a végrehajtható fájlokat vagy a konfigurációs beállításokat, és ez az esemény a "webes megjelölést" csatoló böngésző alapján történő rögzítést Zone.Identifier céloz.

Eseményazonosító: 16: ServiceConfigurationChange

Ez az esemény naplózza a Sysmon konfigurációjában történt változásokat – például amikor a szűrési szabályok frissülnek.

Eseményazonosító: 17: PipeEvent (létrehozott pipe)

Ez az esemény akkor jön létre, amikor elnevezett cső jön létre. A kártevők gyakran elnevezett csöveket használnak a folyamatközi kommunikációhoz.

Eseményazonosító: 18: PipeEvent (pipe connected)

Ez az esemény naplózza, ha elnevezett folyamattal létesített kapcsolat van egy ügyfél és egy kiszolgáló között.

Eseményazonosító: 19: WmiEvent (WmiEventFilter tevékenység észlelhető)

Ha regisztrál egy WMI-eseményszűrőt, amelyet kártevők használnak a végrehajtáshoz, ez az esemény naplózza a WMI-névteret, a szűrő nevét és a szűrőkifejezést.

Eseményazonosító: 20: WmiEvent (WmiEventConsumer tevékenység észlelhető)

Ez az esemény naplózza a WMI-fogyasztók regisztrációját, és rögzíti a fogyasztó nevét, naplóját és célját.

Eseményazonosító: 21: WmiEvent (WmiEventConsumerToFilter tevékenység észlelhető)

Amikor egy fogyasztó egy szűrőhez kötődik, ez az esemény naplózza a fogyasztó nevét és szűrési útvonalát.

Eseményazonosító: 22: DNSEvent (DNS-lekérdezés)

Ez az esemény akkor jön létre, amikor egy folyamat DNS-lekérdezést hajt végre, függetlenül attól, hogy az eredmény sikeres vagy sikertelen, gyorsítótárazva van-e. Az esemény telemetriai adata a Windows 8.1-hez lett hozzáadva, így az nem érhető el Windows 7-es vagy korábbi verzióban.

Eseményazonosító: 23: Fájl törlése (fájl törlése archivált)

Egy fájl törölve lett. Az esemény naplózása mellett a törölt fájl is a (alapértelmezés szerint) ArchiveDirectoryC:\Sysmon fájlba lesz mentve. Normál működési körülmények között ez a könyvtár ésszerűtlenül nőhet – hasonló működés esetén azonban a törölt fájlok mentése nélkül tekintse meg a 26-os FileDeleteDetected eseményazonosítót.

Eseményazonosító: 24: VágólapCsere (Új tartalom a vágólapon)

Ez az esemény akkor jön létre, amikor a rendszer vágólapja tartalma megváltozik.

Eseményazonosító: 25: ProcessTampering (Képváltozás feldolgozása)

Ez az esemény akkor jön létre, amikor a rendszer olyan folyamatreredekvő technikákat észlel, mint a "hamis" vagy a "herpaderp".

Eseményazonosító: 26: FileDeleteDetected (Fájl törlése naplózva)

Egy fájl törölve lett.

Eseményazonosító: 255: Hiba

Ez az esemény akkor jön létre, ha hiba történt a Sysmonban. Akkor fordulhatnak elő, ha a rendszer nagy terhelés alatt áll, és bizonyos feladatokat nem lehet elvégezni, vagy hiba található a Sysmon szolgáltatásban. A hibákat a Sysinternals fórumon vagya Twitteren (@markrussinovich).

Konfigurációs fájlok

A konfigurációs fájlokat az -i (telepítés) vagy a -c (telepítés) konfigurációs kapcsolók után lehet megadni. Megkönnyítik az előre beállított konfigurációk üzembe helyezését és a rögzített események szűrését.

Egy egyszerű konfigurációs XML-fájl a következő:

Konfigurációs fájl

A konfigurációs fájl egy schemaversion attribútumot tartalmaz a Sysmon címkén. Ez a verzió független a Sysmon bináris verziójától, és lehetővé teszi a régebbi konfigurációs fájlok elemezét. Az aktuális sémaverziót a "-? config" parancssorban. A konfigurációbejegyzések közvetlenül a Sysmon címke alatt, a szűrők pedig az EventFiltering címke alatt vannak.

Konfigurációs bejegyzések

A konfigurációs bejegyzések hasonlóak a parancssori kapcsolókhoz, és tartalmazzák a következőket

A konfigurációs bejegyzések a következők:

Bejegyzés Érték Leírás
ArchiveDirectory (Archívumkönyvtár) Sztring A kötetgyökerek könyvtárának neve, amelybe a fájlok másolását és törlését áthelyezi. A könyvtár rendszer ACL-ekkel van védve (a Sysinternals PsExec szolgáltatásával elérheti a könyvtárat a psexec -sid cmd használatával). Alapértelmezett: Sysmon
CheckRevocation (Visszavonás ellenőrzése) Logikai Az aláírás-visszavonási ellenőrzéseket szabályozza. Alapértelmezett érték: True (Igaz)
CopyOnDeletePE Logikai Megőrzi a törölt végrehajtható lemezképfájlokat. Alapértelmezett: False (Hamis)
CopyOnDeleteSIDs Sztringek Azon fiók-SID-k vesszővel elválasztott listája, amelyek fájl törlései megmaradnak.
CopyOnDeleteExtensions (CopyOnDeleteExtensions) Sztringek A törléssel megőrzött fájlok bővítményei.
CopyOnDeleteProcesses Sztringek A folyamat neve(i), amelynek fájl törlései megmaradnak.
DnsLookup Logikai A fordított DNS-keresés vezérlése. Alapértelmezett érték: True (Igaz)
DriverName (Illesztőprogram neve) Sztring Az illesztőprogram- és szolgáltatásképekhez ad meg egy nevet.
HashAlgorithms (HashAlgorithms) Sztringek Kivonatolásra alkalmazandó kivonatolási algoritmus(ak). Támogatott algoritmusok: MD5, SHA1, SHA256, IMPHASH és * (mind). Alapértelmezett: Nincs

A parancssori kapcsolók konfigurációs bejegyzése a Sysmon használati kimenetében van leírva. A paraméterek a címke alapján nem kötelezőek. Ha egy parancssori kapcsoló egy eseményt is lehetővé tesz, a szűrőcímkéje ellenére konfigurálni kell. Megadhatja az -s kapcsolót, hogy a Sysmon kinyomtassa a teljes konfigurációs sémát, beleértve az eseménycímkéket, valamint az egyes események mezőnevét és típusát. Az eseménytípus sémája például RawAccessRead a következő:

<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">  
  <data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="ProcessGuid" inType="win:GUID"/>  
  <data name="ProcessId" inType="win:UInt32" outType="win:PID"/>  
  <data name="Image" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="Device" inType="win:UnicodeString" outType="xs:string"/>  
</event>  

Eseményszűrő bejegyzések

Az eseményszűrés lehetővé teszi a létrehozott események szűrését. Sok esetben az események zajosak lehetnek, és nem lehet mindent begyűjtni. Előfordulhat például, hogy csak egy adott folyamat hálózati kapcsolatai érdeklik, de nem az összes. Szűrheti a kimenetet a gazdagépen, így csökkentve a gyűjthető adatokat.

Minden esemény saját szűrőcímkével rendelkezik az EventFiltering csomópont alatt egy konfigurációs fájlban:

ID (Azonosító) Címke Esemény
1 FolyamatLétrehozás Folyamat létrehozása
2 FájlLétrehozásIdő Fájl létrehozási ideje
3. Hálózatcsatlakozás Hálózati kapcsolat észlelhető
4 n/a A Sysmon szolgáltatás állapotának módosítása (nem szűrhető)
5. Folyamatterminál A folyamat leállt
6. IllesztőprogramBetöltés Betöltött illesztő
7 ImageLoad Betöltött kép
8 CreateRemoteThread CreateRemoteThread észlelve
9 RawAccessRead RawAccessRead észlelve
10 ProcessAccess Elért folyamat
11 FájlLétrehozás Létrehozott fájl
12 RegistryEvent Beállításjegyzék-objektum hozzáadása vagy törlése
13 RegistryEvent Beállításazonosító-készlet
14 RegistryEvent A beállításjegyzék-objektum át lett nevezve
15 FileCreateStreamHash Létrehozott fájlstream
16 n/a Sysmon-konfiguráció módosítása (nem szűrhető)
17 PipeEvent Elnevezett cső létrehozva
18 PipeEvent Nevestűs cső csatlakoztatva
19 WmiEvent WMI-szűrő
20 WmiEvent WMI-fogyasztó
21 WmiEvent WMI fogyasztói szűrő
22 DNS-lekérdezés DNS-lekérdezés
23 FájlTűnés Archivált fájl törlése
24 VágólapCsere Új tartalom a vágólapon
25 ProcessTampering Képváltozás feldolgozása
26 FileDeleteDetected Naplózott fájl törlése

Ezeket a címkéket az eseménynaplóban is megkeresheti a feladat neve alapján.

A onmatch szűrő akkor lesz alkalmazva, ha az események egyeznek. A szűrőcímke onmatch attribútumával módosítható. Ha az érték "include" , az azt jelenti, hogy csak az egyező események szerepelnek benne. Ha a beállítása "exclude" , akkor az esemény bekerül, kivéve, ha egy szabály egyezik. Minden eseményazonosítóhoz megadhat egy include szűrőkészletet és egy kizárási szűrőkészletet is, ahol a kizárási egyezések elsőbbséget élveznek.

Minden szűrő nulla vagy több szabályt tartalmazhat. A szűrőcímke alatt minden címke egy mezőnév az eseményből. Az egy adott mezőnévre vonatkozó feltételt megszabadó szabályok VAGY feltételekként viselkednek, a különböző mezőneveket megszabadó szabályok pedig AND feltételekként viselkednek. A mezőszabályok feltételekkel is megfeleltetnek egy értéket. A feltételek a következők (a kis- és a kis- és a nagy

Feltétel Leírás
is Alapértelmezés szerint az értékek egyenlők
bármely A mező a tagolt ; értékek egyike
nem Az értékek eltérnek
Tartalmaz A mező ezt az értéket tartalmazza
a következőt tartalmazza: A mező a tagolt értékek ; bármelyikét tartalmazza
az összeset tartalmazza A mező a tagolt értékek ; bármelyikét tartalmazza
Kizárja A mező nem tartalmazza ezt az értéket
az összeset kizárja A mező nem tartalmaz egy vagy több tagolt ; értéket
az összeset kizárja A mező nem tartalmaz tagolt ; értékeket
kezdés: A mező ezzel az értékkel kezdődik
vége: A mező ezzel az értékkel végződik
nem ezzel kezdődik A mező nem ezzel az értékkel kezdődik
not end with (nincs vége) A mező nem végződik ezzel az értékkel
kisebb, mint A lexikális összehasonlítás nullánál kisebb
több mint A lexikális összehasonlítás nullánál több
Kép Kép elérési útjának egyeztetése (teljes elérési út vagy csak a rendszerkép neve). Például: lsass.exe egyezést fog c:\windows\system32\lsass.exe

Más feltételt is használhat, ha attribútumként adja meg. Ez kizárja a hálózati tevékenységet az elérési útjukban iexplore.exe folyamatból:

<NetworkConnect onmatch="exclude">
  <Image condition="contains">iexplore.exe</Image>
</NetworkConnect>

Ha meg szeretne adni egy Sysmon-jelentést, hogy melyik szabály egyezése eredményezett egy eseményt, adjon hozzá neveket a szabályokhoz:

<NetworkConnect onmatch="exclude">
  <Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>

Ugyanannak a címkének a be- és kizárási szabályait is használhatja, ahol a kizárási szabályok felülbírálása tartalmaz szabályokat. Egy szabályon belül a szűrési feltételek VAGY viselkedéssel is viselkednek.

A korábban bemutatott mintakonfigurációban a hálózatszűrő egy be- és kizárási szabályt is használ a tevékenységek rögzítéséhez a 80-as és a 443-as porton az összes folyamat által, kivéve azokat, amelyek a nevükben iexplore.exe vannak.

A szabályok összevonásának módját felül is lehet bírálni egy olyan szabálycsoport használatával, amely lehetővé teszi, hogy a szabály összevonási típusa egy vagy több esemény explicit módon AND vagy OR legyen.

Az alábbi példa ezt a használatot mutatja be. Az első szabálycsoportban a folyamat-létrehozási esemény akkor jön létre, ha a végrehajtása csak a parancssori argumentumával történik, de folyamat-megszakítási esemény jön létre a és a timeout.exe100ping.exetimeout.exe megszakításához.

  <EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>

ASysmon letöltése(2,9 MB)

A következőn fut:

  • Ügyfél: Windows 7-es vagy újabb verzió.
  • Kiszolgáló: Windows Server 2008 R2 és újabb verziók.