Sysmon v13.34
Door Mark Russinovich en Thomas Garnier
Gepubliceerd: 11 mei 2022
Sysmon(3,1 MB) downloaden
Sysmon voor Linux downloaden (GitHub)
Introductie
System Monitor (Sysmon) is een Windows systeemservice en apparaatstuurprogramma dat, na installatie op een systeem, in het systeem opnieuw wordt opgestart om systeemactiviteit te bewaken en te registreren in het Windows gebeurtenislogboek. Het biedt gedetailleerde informatie over het maken van processen, netwerkverbindingen en wijzigingen in de aanmaaktijd van bestanden. Door de gebeurtenissen te verzamelen die worden gegenereerd met behulp van Windows Event Collection of SIEM-agents en deze vervolgens te analyseren, kunt u schadelijke of afwijkende activiteiten identificeren en begrijpen hoe indringers en malware op uw netwerk werken.
Houd er rekening mee dat Sysmon geen analyse biedt van de gebeurtenissen die worden gegenereerd, noch probeert sysmon zichzelf te beschermen of te verbergen voor aanvallers.
Overzicht van Sysmon-mogelijkheden
Sysmon bevat de volgende mogelijkheden:
- Registreert het maken van processen met volledige opdrachtregel voor zowel huidige als bovenliggende processen.
- Registreert de hash van procesinstallatiekopieën met BEHULP van SHA1 (de standaard), MD5, SHA256 of IMPHASH.
- Meerdere hashes kunnen tegelijkertijd worden gebruikt.
- Bevat een proces-GUID in procesgebeurtenissen om correlatie van gebeurtenissen mogelijk te maken, zelfs wanneer Windows proces-id's opnieuw gebruikt.
- Bevat een sessie-GUID in elke gebeurtenis om correlatie van gebeurtenissen in dezelfde aanmeldingssessie mogelijk te maken.
- Registreert het laden van stuurprogramma's of DLL's met hun handtekeningen en hashes.
- Logboeken worden geopend voor onbewerkte leestoegang tot schijven en volumes.
- Optioneel registreert u netwerkverbindingen, inclusief het bronproces van elke verbinding, IP-adressen, poortnummers, hostnamen en poortnamen.
- Detecteert wijzigingen in de aanmaaktijd van bestanden om te begrijpen wanneer een bestand echt is gemaakt. Wijziging van tijdstempels voor het maken van bestanden is een techniek die vaak wordt gebruikt door malware om de sporen te dekken.
- Laad de configuratie automatisch opnieuw als dit is gewijzigd in het register.
- Regelfiltering om bepaalde gebeurtenissen dynamisch op te nemen of uit te sluiten.
- Genereert gebeurtenissen van vroeg in het opstartproces om activiteit vast te leggen die is gemaakt door zelfs geavanceerde kernelmodusmalware.
Schermopnamen
Gebruik
Algemeen gebruik met eenvoudige opdrachtregelopties voor het installeren en verwijderen van Sysmon, evenals het controleren en wijzigen van de configuratie:
Installeren: sysmon64 -i [<configfile>]
Configuratie bijwerken: sysmon64 -c [<configfile>]
Gebeurtenismanifest installeren: sysmon64 -m
Schema afdrukken: sysmon64 -s
Verwijderen: sysmon64 -u [force]
| Parameter | Beschrijving |
|---|---|
| -i | Installeer de service en het stuurprogramma. U kunt eventueel een configuratiebestand maken. |
| -c | Werk de configuratie van een geïnstalleerd Sysmon-stuurprogramma bij of dump de huidige configuratie als er geen ander argument is opgegeven. Optioneel gebruikt u een configuratiebestand. |
| -m | Installeer het gebeurtenismanifest (impliciet uitgevoerd bij de installatie van de service). |
| -s | Definitie van configuratieschema afdrukken. |
| -u | Verwijder de service en het stuurprogramma. Als u -u force ervoor zorgt dat het verwijderen wordt voortgezet, zelfs wanneer sommige onderdelen niet zijn geïnstalleerd. |
De service registreert gebeurtenissen onmiddellijk en het stuurprogramma wordt geïnstalleerd als een opstartstuurprogramma om activiteiten vast te leggen vanaf vroeg in het opstarten dat de service naar het gebeurtenislogboek schrijft wanneer het wordt gestart.
Op Vista en hoger worden gebeurtenissen opgeslagen in Applications and Services Logs/Microsoft/Windows/Sysmon/Operational.
Op oudere systemen worden gebeurtenissen naar het System gebeurtenislogboek geschreven.
Als u meer informatie nodig hebt over configuratiebestanden, gebruikt u de -? config opdracht.
Geef op -accepteula dat de gebruiksrechtovereenkomst automatisch wordt geaccepteerd bij de installatie, anders wordt u interactief gevraagd deze te accepteren.
Installeren of verwijderen vereist geen herstart.
Voorbeelden
Installeren met standaardinstellingen (procesinstallatiekopieën die zijn gehasht met SHA1 en geen netwerkbewaking)
sysmon -accepteula -i
Sysmon installeren met een configuratiebestand (zoals hieronder wordt beschreven)
sysmon -accepteula -i c:\windows\config.xml
Verwijderen
sysmon -u
De huidige configuratie dumpen
sysmon -c
Een actieve Sysmon opnieuw configureren met een configuratiebestand (zoals hieronder wordt beschreven)
sysmon -c c:\windows\config.xml
De configuratie wijzigen in standaardinstellingen
sysmon -c --
Het configuratieschema weergeven
sysmon -s
gebeurtenis
Op Vista en hoger worden gebeurtenissen opgeslagen in Applications and Services Logs/Microsoft/Windows/Sysmon/Operationalen op oudere systeemevenementen worden naar het gebeurtenislogboek van het systeem geschreven. Tijdstempels voor gebeurtenissen bevinden zich in de standaardtijd van UTC.
Hier volgen enkele voorbeelden van elk gebeurtenistype dat Sysmon genereert.
Gebeurtenis-id 1: proces maken
De gebeurtenis voor het maken van processen biedt uitgebreide informatie over een nieuw gemaakt proces. De volledige opdrachtregel biedt context voor de uitvoering van het proces. Het veld ProcessGUID is een unieke waarde voor dit proces in een domein om de correlatie van gebeurtenissen te vereenvoudigen. De hash is een volledige hash van het bestand met de algoritmen in het veld HashType.
Gebeurtenis-id 2: een proces heeft de aanmaaktijd van een bestand gewijzigd
De gebeurtenis voor het maken van het wijzigingsbestand wordt geregistreerd wanneer een aanmaaktijd van een bestand expliciet wordt gewijzigd door een proces. Deze gebeurtenis helpt bij het bijhouden van de realtime aanmaaktijd van een bestand. Aanvallers kunnen de tijd voor het maken van bestanden van een achterdeur wijzigen zodat het eruitziet alsof het is geïnstalleerd met het besturingssysteem. Houd er rekening mee dat veel processen de aanmaaktijd van een bestand legitiem wijzigen; dit duidt niet noodzakelijkerwijs op schadelijke activiteiten.
Gebeurtenis-id 3: Netwerkverbinding
De gebeurtenis van de netwerkverbinding registreert TCP/UDP-verbindingen op de computer. Deze optie is standaard uitgeschakeld. Elke verbinding is gekoppeld aan een proces via de velden ProcessId en ProcessGUID. De gebeurtenis bevat ook de IP-adressen, poortnummers en IPv6-status van de bron- en doelhost.
Gebeurtenis-id 4: status sysmon-service gewijzigd
De wijzigingsgebeurtenis van de servicestatus rapporteert de status van de Sysmon-service (gestart of gestopt).
Gebeurtenis-id 5: proces beëindigd
Het proces beëindigt gebeurtenisrapporten wanneer een proces wordt beëindigd. Het biedt de UtcTime, ProcessGuid en ProcessId van het proces.
Gebeurtenis-id 6: Stuurprogramma geladen
De geladen gebeurtenissen van het stuurprogramma bevatten informatie over een stuurprogramma dat op het systeem wordt geladen. De geconfigureerde hashes worden opgegeven, evenals handtekeninggegevens. De handtekening wordt asynchroon gemaakt om prestatieredenen en geeft aan of het bestand is verwijderd na het laden.
Gebeurtenis-id 7: Afbeelding geladen
De geladen gebeurtenislogboeken van de installatiekopieën wanneer een module in een specifiek proces wordt geladen. Deze gebeurtenis is standaard uitgeschakeld en moet worden geconfigureerd met de optie –l. Het geeft het proces aan waarin de module wordt geladen, hashes en handtekeninggegevens. De handtekening wordt asynchroon gemaakt om prestatieredenen en geeft aan of het bestand is verwijderd na het laden. Deze gebeurtenis moet zorgvuldig worden geconfigureerd, omdat het bewaken van alle gebeurtenissen voor het laden van installatiekopieën een groot aantal gebeurtenissen genereert.
Gebeurtenis-id 8: CreateRemoteThread
De gebeurtenis CreateRemoteThread detecteert wanneer een proces een thread in een ander proces maakt. Deze techniek wordt gebruikt door malware om code in te voeren en te verbergen in andere processen. De gebeurtenis geeft het bron- en doelproces aan. Het geeft informatie over de code die wordt uitgevoerd in de nieuwe thread: StartAddress, StartModule en StartFunction. Houd er rekening mee dat de velden StartModule en StartFunction worden afgeleid. Deze zijn mogelijk leeg als het beginadres zich buiten geladen modules of bekende geëxporteerde functies bevindt.
Gebeurtenis-id 9: RawAccessRead
De RawAccessRead-gebeurtenis detecteert wanneer een proces leesbewerkingen uitvoert vanaf het station met behulp van de \\.\ aantekening. Deze techniek wordt vaak gebruikt door malware voor gegevensexfiltratie van bestanden die zijn vergrendeld voor lezen, en om controleprogramma's voor bestandstoegang te voorkomen. De gebeurtenis geeft het bronproces en het doelapparaat aan.
Gebeurtenis-id 10: ProcessAccess
Het proces opent gebeurtenisrapporten wanneer een proces een ander proces opent, een bewerking die vaak wordt gevolgd door informatiequery's of het lezen en schrijven van de adresruimte van het doelproces. Hierdoor kunnen hackhulpprogramma's worden gedetecteerd die de geheugeninhoud van processen zoals lokale beveiligingsinstantie (Lsass.exe) lezen om referenties te stelen voor gebruik bij Pass-the-Hash-aanvallen. Het inschakelen van logboekregistratie kan aanzienlijke hoeveelheden logboekregistratie genereren als er diagnostische hulpprogramma's actief zijn die herhaaldelijk processen openen om een query uit te voeren op hun status, dus het moet over het algemeen alleen worden gedaan met filters die verwachte toegang verwijderen.
Gebeurtenis-id 11: FileCreate
Bewerkingen voor het maken van bestanden worden geregistreerd wanneer een bestand wordt gemaakt of overschreven. Deze gebeurtenis is handig voor het bewaken van autostartlocaties, zoals de opstartmap, evenals tijdelijke mappen en downloadmappen, die veelvoorkomende plaatsen malware druppels tijdens de eerste infectie.
Gebeurtenis-id 12: RegistryEvent (object maken en verwijderen)
Registersleutel en waarde maken en verwijderen bewerkingen toewijzen aan dit gebeurtenistype, wat handig kan zijn voor het controleren van wijzigingen in register autostartlocaties of specifieke wijzigingen in het malwareregister.
Sysmon maakt gebruik van verkorte versies van registerhoofdsleutelnamen, met de volgende toewijzingen:
| Sleutelnaam | Afkorting |
|---|---|
HKEY_LOCAL_MACHINE |
HKLM |
HKEY_USERS |
HKU |
HKEY_LOCAL_MACHINE\System\ControlSet00x |
HKLM\System\CurrentControlSet |
HKEY_LOCAL_MACHINE\Classes |
HKCR |
Gebeurtenis-id 13: RegistryEvent (waardeset)
Dit gebeurtenistype register identificeert wijzigingen in registerwaarden. De gebeurtenis registreert de waarde die is geschreven voor registerwaarden van het type DWORD en QWORD.
Gebeurtenis-id 14: RegistryEvent (naam van sleutel en waarde wijzigen)
Registersleutel en naamswijzigingsbewerkingen worden toegewezen aan dit gebeurtenistype, waarbij de nieuwe naam van de sleutel of waarde die is gewijzigd, wordt geregistreerd.
Gebeurtenis-id 15: FileCreateStreamHash
Deze gebeurtenis registreert wanneer een benoemde bestandsstroom wordt gemaakt en genereert gebeurtenissen die de hash van de inhoud van het bestand registreren waaraan de stream is toegewezen (de niet-benoemde stream), evenals de inhoud van de benoemde stream. Er zijn malwarevarianten die hun uitvoerbare bestanden of configuratie-instellingen verwijderen via browserdownloads en deze gebeurtenis is gericht op het vastleggen van die op basis van de browser die een Zone.Identifier 'markering van het web' koppelt.
Gebeurtenis-id 16: ServiceConfigurationChange
Met deze gebeurtenis worden wijzigingen in de Sysmon-configuratie vastgelegd, bijvoorbeeld wanneer de filterregels worden bijgewerkt.
Gebeurtenis-id 17: PipeEvent (pijp gemaakt)
Deze gebeurtenis wordt gegenereerd wanneer een benoemde pijp wordt gemaakt. Malware gebruikt vaak benoemde pijpen voor communicatie tussen processen.
Gebeurtenis-id 18: PipeEvent (Pipe Connected)
Deze gebeurtenis registreert wanneer er een benoemde pijpverbinding wordt gemaakt tussen een client en een server.
Gebeurtenis-id 19: WmiEvent (WmiEventFilter-activiteit gedetecteerd)
Wanneer een WMI-gebeurtenisfilter is geregistreerd, een methode die wordt gebruikt door malware, registreert deze gebeurtenis de WMI-naamruimte, filternaam en filterexpressie.
Gebeurtenis-id 20: WmiEvent (WmiEventConsumer-activiteit gedetecteerd)
Met deze gebeurtenis wordt de registratie van WMI-consumenten geregistreerd, de naam van de consument, het logboek en de bestemming vastgelegd.
Gebeurtenis-id 21: WmiEvent (WmiEventConsumerToFilter-activiteit gedetecteerd)
Wanneer een consument wordt gebonden aan een filter, registreert deze gebeurtenis de naam van de consument en het filterpad.
Gebeurtenis-id 22: DNSEvent (DNS-query)
Deze gebeurtenis wordt gegenereerd wanneer een proces een DNS-query uitvoert, ongeacht of het resultaat is geslaagd of mislukt, in de cache is opgeslagen of niet. De telemetrie voor deze gebeurtenis is toegevoegd voor Windows 8.1, zodat deze niet beschikbaar is op Windows 7 en eerder.
Gebeurtenis-id 23: FileDelete (gearchiveerd bestand verwijderen)
Er is een bestand verwijderd. Als u de gebeurtenis wilt registreren, wordt het verwijderde bestand ook opgeslagen in de ArchiveDirectory (standaardinstelling C:\Sysmon ). Onder normale operationele omstandigheden kan deze map tot een onredelijke grootte groeien- zie gebeurtenis-id 26: FileDeleteDetected voor vergelijkbaar gedrag, maar zonder de verwijderde bestanden op te slaan.
Gebeurtenis-id 24: KlembordChange (nieuwe inhoud op het klembord)
Deze gebeurtenis wordt gegenereerd wanneer de inhoud van het klembord van het systeem wordt gewijzigd.
Gebeurtenis-id 25: ProcessTampering (wijziging van procesafbeelding)
Deze gebeurtenis wordt gegenereerd wanneer er technieken voor het verbergen van processen zoals 'hol' of 'herpaderp' worden gedetecteerd.
Gebeurtenis-id 26: FileDeleteDetected (geregistreerd bestand verwijderen)
Er is een bestand verwijderd.
Gebeurtenis-id 255: Fout
Deze gebeurtenis wordt gegenereerd wanneer er een fout is opgetreden in Sysmon. Ze kunnen optreden als het systeem zwaar wordt belast en bepaalde taken niet kunnen worden uitgevoerd of als er een fout bestaat in de Sysmon-service. U kunt eventuele bugs melden op het Sysinternals-forum of via Twitter (@markrussinovich).
Configuratiebestanden
Configuratiebestanden kunnen worden opgegeven na de configuratieswitches -i (installatie) of -c (installatie). Ze maken het eenvoudiger om een vooraf ingestelde configuratie te implementeren en vastgelegde gebeurtenissen te filteren.
Een eenvoudig XML-configuratiebestand ziet er als volgt uit:
Het configuratiebestand bevat een schemaversion-kenmerk in de Sysmon-tag. Deze versie is onafhankelijk van de binaire sysmon-versie en staat het parseren van oudere configuratiebestanden toe. U kunt de huidige schemaversie ophalen met behulp van de '-? config" opdrachtregel. Configuratievermeldingen bevinden zich rechtstreeks onder de Sysmon-tag en filters bevinden zich onder de tag EventFiltering.
Configuratie-vermeldingen
Configuratievermeldingen zijn vergelijkbaar met opdrachtregelswitches en bevatten het volgende
Configuratievermeldingen omvatten het volgende:
| Vermelding | Waarde | Beschrijving |
|---|---|---|
| ArchiveDirectory | Tekenreeks | Naam van mappen op volumewortels waarin copy-on-delete-bestanden worden verplaatst. De map is beveiligd met een systeem-ACL (u kunt PsExec van Sysinternals gebruiken om toegang te krijgen tot de map met behulp van psexec -sid cmd). Standaard: Sysmon |
| CheckRevocation | Booleaans | Hiermee bepaalt u controles voor het intrekken van handtekeningen. Standaard: Waar |
| CopyOnDeletePE | Booleaans | Bewaart verwijderde uitvoerbare afbeeldingsbestanden. Standaardwaarde: Onwaar |
| CopyOnDeleteSIDs | Tekenreeksen | Door komma's gescheiden lijst met account-SID's waarvoor bestand wordt verwijderd, blijven behouden. |
| CopyOnDeleteExtensions | Tekenreeksen | Extensies voor bestanden die behouden blijven bij verwijderen. |
| CopyOnDeleteProcesses | Tekenreeksen | Procesnaam(en) waarvoor bestand wordt verwijderd, blijft behouden. |
| DnsLookup | Booleaans | Besturingselementen voor omgekeerde DNS-lookup. Standaard: Waar |
| DriverName | Tekenreeks | Gebruikt een specifieke naam voor installatiekopieën van stuurprogramma's en services. |
| HashAlgorithms | Tekenreeksen | Hash-algoritme(s) die moeten worden toegepast op hashing. Ondersteunde algoritmen zijn MD5, SHA1, SHA256, IMPHASH en * (alle). Standaardinstelling: Geen |
Opdrachtregelswitches hebben hun configuratievermelding beschreven in de sysmon-gebruiksuitvoer. Parameters zijn optioneel op basis van de tag. Als een opdrachtregelswitch ook een gebeurtenis inschakelt, moet deze worden geconfigureerd via de filtertag. U kunt de schakeloptie -s opgeven om Sysmon het volledige configuratieschema af te drukken, inclusief gebeurtenistags, evenals de veldnamen en typen voor elke gebeurtenis. Dit is bijvoorbeeld het schema voor het RawAccessRead gebeurtenistype:
<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">
<data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>
<data name="ProcessGuid" inType="win:GUID"/>
<data name="ProcessId" inType="win:UInt32" outType="win:PID"/>
<data name="Image" inType="win:UnicodeString" outType="xs:string"/>
<data name="Device" inType="win:UnicodeString" outType="xs:string"/>
</event>
Vermeldingen voor gebeurtenisfilters
Met gebeurtenisfiltering kunt u gegenereerde gebeurtenissen filteren. In veel gevallen kunnen gebeurtenissen luidruchtig zijn en alles verzamelen is niet mogelijk. U bent bijvoorbeeld alleen geïnteresseerd in netwerkverbindingen voor een bepaald proces, maar niet allemaal. U kunt de uitvoer op de host filteren om de gegevens te verzamelen te verminderen.
Elke gebeurtenis heeft een eigen filtertag onder het EventFiltering-knooppunt in een configuratiebestand:
| Id | Tag | Gebeurtenis |
|---|---|---|
| 1 ProcessCreate | Proces maken | |
| 2 FileCreateTime | Tijd voor het maken van bestanden | |
| 3 NetworkConnect | Netwerkverbinding gedetecteerd | |
| 4 n/a | Statuswijziging sysmon-service (kan niet worden gefilterd) | |
| 5 ProcessTerminate | Proces beëindigd | |
| 6 DriverLoad | Stuurprogramma geladen | |
| 7 ImageLoad | Afbeelding geladen | |
| 8 CreateRemoteThread | CreateRemoteThread gedetecteerd | |
| 9 RawAccessRead | RawAccessRead gedetecteerd | |
| 10 ProcessAccess | Proces geopend | |
| 11 FileCreate | Bestand gemaakt | |
| 12 RegistryEvent | Registerobject toegevoegd of verwijderd | |
| 13 RegistryEvent | Registerwaardeset | |
| 14 RegistryEvent | Naam van registerobject gewijzigd | |
| 15 FileCreateStreamHash | Bestandsstroom gemaakt | |
| 16 n/a | Sysmon-configuratiewijziging (kan niet worden gefilterd) | |
| 17 PipeEvent | Benoemde pijp gemaakt | |
| 18 PipeEvent | Benoemde pijp verbonden | |
| 19 WmiEvent | WMI-filter | |
| 20 WmiEvent | WMI-consument | |
| 21 WmiEvent | WMI-consumentenfilter | |
| 22 DNSQuery | DNS-query | |
| 23 FileDelete | Gearchiveerd bestand verwijderen | |
| 24 KlembordChange | Nieuwe inhoud op het Klembord | |
| 25 ProcessTampering | Wijziging van procesafbeelding | |
| 26 FileDeleteDetected | Logboekbestand verwijderen |
U kunt deze tags ook vinden in de logboeken op de taaknaam.
Het onmatch filter wordt toegepast als gebeurtenissen overeenkomen. Deze kan worden gewijzigd met het onmatch kenmerk voor de filtertag. Als de waarde is "include", betekent dit dat alleen overeenkomende gebeurtenissen zijn opgenomen. Als deze optie is ingesteld "exclude", wordt de gebeurtenis opgenomen, behalve als een regel overeenkomt. U kunt zowel een insluitingsfilterset als een uitsluitingsfilterset opgeven voor elke gebeurtenis-id, waarbij overeenkomsten uitsluiten voorrang hebben.
Elk filter kan nul of meer regels bevatten. Elke tag onder de filtertag is een veldnaam van de gebeurtenis. Regels die een voorwaarde voor dezelfde veldnaam opgeven, gedragen zich als OR-voorwaarden en regels die een andere veldnaam opgeven, gedragen zich als AND-voorwaarden. Veldregels kunnen ook voorwaarden gebruiken om een waarde te vinden. De voorwaarden zijn als volgt (alle zijn niet hoofdlettergevoelig):
| Condition | Beschrijving |
|---|---|
| is | Standaard zijn waarden gelijk aan |
| is elke | Het veld is een van de ; gescheiden waarden |
| is niet | Waarden verschillen |
| Bevat | Het veld bevat deze waarde |
| bevat alle | Het veld bevat een van de ; gescheiden waarden |
| bevat alle | Het veld bevat alle ; gescheiden waarden |
| Sluit | Het veld bevat deze waarde niet |
| sluit alle | Het veld bevat geen of meer van de ; gescheiden waarden |
| sluit alle | Het veld bevat geen van de ; gescheiden waarden |
| beginnen met | Het veld begint met deze waarde |
| eindigen met | Het veld eindigt met deze waarde |
| niet beginnen met | Het veld begint niet met deze waarde |
| niet eindigen met | Het veld eindigt niet met deze waarde |
| kleiner dan | Lexicographicale vergelijking is kleiner dan nul |
| meer dan | Lexicografische vergelijking is meer dan nul |
| Afbeelding | Overeenkomen met een afbeeldingspad (volledig pad of alleen de naam van de installatiekopieën). Bijvoorbeeld: komt overeen met lsass.exec:\windows\system32\lsass.exe |
U kunt een andere voorwaarde gebruiken door deze op te geven als een kenmerk. Dit sluit netwerkactiviteit uit van processen met iexplore.exe in hun pad:
<NetworkConnect onmatch="exclude">
<Image condition="contains">iexplore.exe</Image>
</NetworkConnect>
Als u wilt dat Sysmon rapporteert welke regel overeenkomt met een gebeurtenis die wordt geregistreerd, voegt u namen toe aan regels:
<NetworkConnect onmatch="exclude">
<Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>
U kunt regels voor opnemen en uitsluiten gebruiken voor dezelfde tag, waarbij regels worden overschreven door regels. Binnen een regel hebben filtervoorwaarden OR-gedrag.
In de eerder getoonde voorbeeldconfiguratie gebruikt het netwerkfilter zowel een insluitings- als uitsluitingsregel om activiteit vast te leggen op poort 80 en 443 door alle processen, behalve de processen die in hun naam staan iexplore.exe .
Het is ook mogelijk om de manier te overschrijven waarop regels worden gecombineerd met behulp van een regelgroep waarmee het type regel combineren voor een of meer gebeurtenissen expliciet kan worden ingesteld op AND of OR.
In het volgende voorbeeld ziet u dit gebruik. In de eerste regelgroep wordt een proces makengebeurtenis gegenereerd wanneer timeout.exe deze alleen wordt uitgevoerd met een opdrachtregelargument van 100, maar er wordt een proces beëindigde gebeurtenis gegenereerd voor de beëindiging van ping.exe en timeout.exe.
<EventFiltering>
<RuleGroup name="group 1" groupRelation="and">
<ProcessCreate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<CommandLine condition="contains">100</CommandLine>
</ProcessCreate>
</RuleGroup>
<RuleGroup groupRelation="or">
<ProcessTerminate onmatch="include">
<Image condition="contains">timeout.exe</Image>
<Image condition="contains">ping.exe</Image>
</ProcessTerminate>
</RuleGroup>
<ImageLoad onmatch="include"/>
</EventFiltering>
Sysmon(3,1 MB) downloaden
Wordt uitgevoerd op:
- Client: Windows 8.1 en hoger.
- Server: Windows Server 2012 en hoger.