Sysmon v13.34

Door Mark Russinovich en Thomas Garnier

Gepubliceerd: 11 mei 2022

DownloadSysmon(3,1 MB) downloaden

Sysmon voor Linux downloaden (GitHub)

Introductie

System Monitor (Sysmon) is een Windows systeemservice en apparaatstuurprogramma dat, na installatie op een systeem, in het systeem opnieuw wordt opgestart om systeemactiviteit te bewaken en te registreren in het Windows gebeurtenislogboek. Het biedt gedetailleerde informatie over het maken van processen, netwerkverbindingen en wijzigingen in de aanmaaktijd van bestanden. Door de gebeurtenissen te verzamelen die worden gegenereerd met behulp van Windows Event Collection of SIEM-agents en deze vervolgens te analyseren, kunt u schadelijke of afwijkende activiteiten identificeren en begrijpen hoe indringers en malware op uw netwerk werken.

Houd er rekening mee dat Sysmon geen analyse biedt van de gebeurtenissen die worden gegenereerd, noch probeert sysmon zichzelf te beschermen of te verbergen voor aanvallers.

Overzicht van Sysmon-mogelijkheden

Sysmon bevat de volgende mogelijkheden:

  • Registreert het maken van processen met volledige opdrachtregel voor zowel huidige als bovenliggende processen.
  • Registreert de hash van procesinstallatiekopieën met BEHULP van SHA1 (de standaard), MD5, SHA256 of IMPHASH.
  • Meerdere hashes kunnen tegelijkertijd worden gebruikt.
  • Bevat een proces-GUID in procesgebeurtenissen om correlatie van gebeurtenissen mogelijk te maken, zelfs wanneer Windows proces-id's opnieuw gebruikt.
  • Bevat een sessie-GUID in elke gebeurtenis om correlatie van gebeurtenissen in dezelfde aanmeldingssessie mogelijk te maken.
  • Registreert het laden van stuurprogramma's of DLL's met hun handtekeningen en hashes.
  • Logboeken worden geopend voor onbewerkte leestoegang tot schijven en volumes.
  • Optioneel registreert u netwerkverbindingen, inclusief het bronproces van elke verbinding, IP-adressen, poortnummers, hostnamen en poortnamen.
  • Detecteert wijzigingen in de aanmaaktijd van bestanden om te begrijpen wanneer een bestand echt is gemaakt. Wijziging van tijdstempels voor het maken van bestanden is een techniek die vaak wordt gebruikt door malware om de sporen te dekken.
  • Laad de configuratie automatisch opnieuw als dit is gewijzigd in het register.
  • Regelfiltering om bepaalde gebeurtenissen dynamisch op te nemen of uit te sluiten.
  • Genereert gebeurtenissen van vroeg in het opstartproces om activiteit vast te leggen die is gemaakt door zelfs geavanceerde kernelmodusmalware.

Schermopnamen

EventViewer

Gebruik

Algemeen gebruik met eenvoudige opdrachtregelopties voor het installeren en verwijderen van Sysmon, evenals het controleren en wijzigen van de configuratie:

Installeren: sysmon64 -i [<configfile>]
Configuratie bijwerken: sysmon64 -c [<configfile>]
Gebeurtenismanifest installeren: sysmon64 -m
Schema afdrukken: sysmon64 -s
Verwijderen: sysmon64 -u [force]

Parameter Beschrijving
-i Installeer de service en het stuurprogramma. U kunt eventueel een configuratiebestand maken.
-c Werk de configuratie van een geïnstalleerd Sysmon-stuurprogramma bij of dump de huidige configuratie als er geen ander argument is opgegeven. Optioneel gebruikt u een configuratiebestand.
-m Installeer het gebeurtenismanifest (impliciet uitgevoerd bij de installatie van de service).
-s Definitie van configuratieschema afdrukken.
-u Verwijder de service en het stuurprogramma. Als u -u force ervoor zorgt dat het verwijderen wordt voortgezet, zelfs wanneer sommige onderdelen niet zijn geïnstalleerd.

De service registreert gebeurtenissen onmiddellijk en het stuurprogramma wordt geïnstalleerd als een opstartstuurprogramma om activiteiten vast te leggen vanaf vroeg in het opstarten dat de service naar het gebeurtenislogboek schrijft wanneer het wordt gestart.

Op Vista en hoger worden gebeurtenissen opgeslagen in Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Op oudere systemen worden gebeurtenissen naar het System gebeurtenislogboek geschreven.

Als u meer informatie nodig hebt over configuratiebestanden, gebruikt u de -? config opdracht.

Geef op -accepteula dat de gebruiksrechtovereenkomst automatisch wordt geaccepteerd bij de installatie, anders wordt u interactief gevraagd deze te accepteren.

Installeren of verwijderen vereist geen herstart.

Voorbeelden

Installeren met standaardinstellingen (procesinstallatiekopieën die zijn gehasht met SHA1 en geen netwerkbewaking)

sysmon -accepteula -i

Sysmon installeren met een configuratiebestand (zoals hieronder wordt beschreven)

sysmon -accepteula -i c:\windows\config.xml

Verwijderen

sysmon -u

De huidige configuratie dumpen

sysmon -c

Een actieve Sysmon opnieuw configureren met een configuratiebestand (zoals hieronder wordt beschreven)

sysmon -c c:\windows\config.xml

De configuratie wijzigen in standaardinstellingen

sysmon -c --

Het configuratieschema weergeven

sysmon -s

gebeurtenis

Op Vista en hoger worden gebeurtenissen opgeslagen in Applications and Services Logs/Microsoft/Windows/Sysmon/Operationalen op oudere systeemevenementen worden naar het gebeurtenislogboek van het systeem geschreven. Tijdstempels voor gebeurtenissen bevinden zich in de standaardtijd van UTC.

Hier volgen enkele voorbeelden van elk gebeurtenistype dat Sysmon genereert.

Gebeurtenis-id 1: proces maken

De gebeurtenis voor het maken van processen biedt uitgebreide informatie over een nieuw gemaakt proces. De volledige opdrachtregel biedt context voor de uitvoering van het proces. Het veld ProcessGUID is een unieke waarde voor dit proces in een domein om de correlatie van gebeurtenissen te vereenvoudigen. De hash is een volledige hash van het bestand met de algoritmen in het veld HashType.

Gebeurtenis-id 2: een proces heeft de aanmaaktijd van een bestand gewijzigd

De gebeurtenis voor het maken van het wijzigingsbestand wordt geregistreerd wanneer een aanmaaktijd van een bestand expliciet wordt gewijzigd door een proces. Deze gebeurtenis helpt bij het bijhouden van de realtime aanmaaktijd van een bestand. Aanvallers kunnen de tijd voor het maken van bestanden van een achterdeur wijzigen zodat het eruitziet alsof het is geïnstalleerd met het besturingssysteem. Houd er rekening mee dat veel processen de aanmaaktijd van een bestand legitiem wijzigen; dit duidt niet noodzakelijkerwijs op schadelijke activiteiten.

Gebeurtenis-id 3: Netwerkverbinding

De gebeurtenis van de netwerkverbinding registreert TCP/UDP-verbindingen op de computer. Deze optie is standaard uitgeschakeld. Elke verbinding is gekoppeld aan een proces via de velden ProcessId en ProcessGUID. De gebeurtenis bevat ook de IP-adressen, poortnummers en IPv6-status van de bron- en doelhost.

Gebeurtenis-id 4: status sysmon-service gewijzigd

De wijzigingsgebeurtenis van de servicestatus rapporteert de status van de Sysmon-service (gestart of gestopt).

Gebeurtenis-id 5: proces beëindigd

Het proces beëindigt gebeurtenisrapporten wanneer een proces wordt beëindigd. Het biedt de UtcTime, ProcessGuid en ProcessId van het proces.

Gebeurtenis-id 6: Stuurprogramma geladen

De geladen gebeurtenissen van het stuurprogramma bevatten informatie over een stuurprogramma dat op het systeem wordt geladen. De geconfigureerde hashes worden opgegeven, evenals handtekeninggegevens. De handtekening wordt asynchroon gemaakt om prestatieredenen en geeft aan of het bestand is verwijderd na het laden.

Gebeurtenis-id 7: Afbeelding geladen

De geladen gebeurtenislogboeken van de installatiekopieën wanneer een module in een specifiek proces wordt geladen. Deze gebeurtenis is standaard uitgeschakeld en moet worden geconfigureerd met de optie –l. Het geeft het proces aan waarin de module wordt geladen, hashes en handtekeninggegevens. De handtekening wordt asynchroon gemaakt om prestatieredenen en geeft aan of het bestand is verwijderd na het laden. Deze gebeurtenis moet zorgvuldig worden geconfigureerd, omdat het bewaken van alle gebeurtenissen voor het laden van installatiekopieën een groot aantal gebeurtenissen genereert.

Gebeurtenis-id 8: CreateRemoteThread

De gebeurtenis CreateRemoteThread detecteert wanneer een proces een thread in een ander proces maakt. Deze techniek wordt gebruikt door malware om code in te voeren en te verbergen in andere processen. De gebeurtenis geeft het bron- en doelproces aan. Het geeft informatie over de code die wordt uitgevoerd in de nieuwe thread: StartAddress, StartModule en StartFunction. Houd er rekening mee dat de velden StartModule en StartFunction worden afgeleid. Deze zijn mogelijk leeg als het beginadres zich buiten geladen modules of bekende geëxporteerde functies bevindt.

Gebeurtenis-id 9: RawAccessRead

De RawAccessRead-gebeurtenis detecteert wanneer een proces leesbewerkingen uitvoert vanaf het station met behulp van de \\.\ aantekening. Deze techniek wordt vaak gebruikt door malware voor gegevensexfiltratie van bestanden die zijn vergrendeld voor lezen, en om controleprogramma's voor bestandstoegang te voorkomen. De gebeurtenis geeft het bronproces en het doelapparaat aan.

Gebeurtenis-id 10: ProcessAccess

Het proces opent gebeurtenisrapporten wanneer een proces een ander proces opent, een bewerking die vaak wordt gevolgd door informatiequery's of het lezen en schrijven van de adresruimte van het doelproces. Hierdoor kunnen hackhulpprogramma's worden gedetecteerd die de geheugeninhoud van processen zoals lokale beveiligingsinstantie (Lsass.exe) lezen om referenties te stelen voor gebruik bij Pass-the-Hash-aanvallen. Het inschakelen van logboekregistratie kan aanzienlijke hoeveelheden logboekregistratie genereren als er diagnostische hulpprogramma's actief zijn die herhaaldelijk processen openen om een query uit te voeren op hun status, dus het moet over het algemeen alleen worden gedaan met filters die verwachte toegang verwijderen.

Gebeurtenis-id 11: FileCreate

Bewerkingen voor het maken van bestanden worden geregistreerd wanneer een bestand wordt gemaakt of overschreven. Deze gebeurtenis is handig voor het bewaken van autostartlocaties, zoals de opstartmap, evenals tijdelijke mappen en downloadmappen, die veelvoorkomende plaatsen malware druppels tijdens de eerste infectie.

Gebeurtenis-id 12: RegistryEvent (object maken en verwijderen)

Registersleutel en waarde maken en verwijderen bewerkingen toewijzen aan dit gebeurtenistype, wat handig kan zijn voor het controleren van wijzigingen in register autostartlocaties of specifieke wijzigingen in het malwareregister.

Sysmon maakt gebruik van verkorte versies van registerhoofdsleutelnamen, met de volgende toewijzingen:

Sleutelnaam Afkorting
HKEY_LOCAL_MACHINE HKLM
HKEY_USERS HKU
HKEY_LOCAL_MACHINE\System\ControlSet00x HKLM\System\CurrentControlSet
HKEY_LOCAL_MACHINE\Classes HKCR

Gebeurtenis-id 13: RegistryEvent (waardeset)

Dit gebeurtenistype register identificeert wijzigingen in registerwaarden. De gebeurtenis registreert de waarde die is geschreven voor registerwaarden van het type DWORD en QWORD.

Gebeurtenis-id 14: RegistryEvent (naam van sleutel en waarde wijzigen)

Registersleutel en naamswijzigingsbewerkingen worden toegewezen aan dit gebeurtenistype, waarbij de nieuwe naam van de sleutel of waarde die is gewijzigd, wordt geregistreerd.

Gebeurtenis-id 15: FileCreateStreamHash

Deze gebeurtenis registreert wanneer een benoemde bestandsstroom wordt gemaakt en genereert gebeurtenissen die de hash van de inhoud van het bestand registreren waaraan de stream is toegewezen (de niet-benoemde stream), evenals de inhoud van de benoemde stream. Er zijn malwarevarianten die hun uitvoerbare bestanden of configuratie-instellingen verwijderen via browserdownloads en deze gebeurtenis is gericht op het vastleggen van die op basis van de browser die een Zone.Identifier 'markering van het web' koppelt.

Gebeurtenis-id 16: ServiceConfigurationChange

Met deze gebeurtenis worden wijzigingen in de Sysmon-configuratie vastgelegd, bijvoorbeeld wanneer de filterregels worden bijgewerkt.

Gebeurtenis-id 17: PipeEvent (pijp gemaakt)

Deze gebeurtenis wordt gegenereerd wanneer een benoemde pijp wordt gemaakt. Malware gebruikt vaak benoemde pijpen voor communicatie tussen processen.

Gebeurtenis-id 18: PipeEvent (Pipe Connected)

Deze gebeurtenis registreert wanneer er een benoemde pijpverbinding wordt gemaakt tussen een client en een server.

Gebeurtenis-id 19: WmiEvent (WmiEventFilter-activiteit gedetecteerd)

Wanneer een WMI-gebeurtenisfilter is geregistreerd, een methode die wordt gebruikt door malware, registreert deze gebeurtenis de WMI-naamruimte, filternaam en filterexpressie.

Gebeurtenis-id 20: WmiEvent (WmiEventConsumer-activiteit gedetecteerd)

Met deze gebeurtenis wordt de registratie van WMI-consumenten geregistreerd, de naam van de consument, het logboek en de bestemming vastgelegd.

Gebeurtenis-id 21: WmiEvent (WmiEventConsumerToFilter-activiteit gedetecteerd)

Wanneer een consument wordt gebonden aan een filter, registreert deze gebeurtenis de naam van de consument en het filterpad.

Gebeurtenis-id 22: DNSEvent (DNS-query)

Deze gebeurtenis wordt gegenereerd wanneer een proces een DNS-query uitvoert, ongeacht of het resultaat is geslaagd of mislukt, in de cache is opgeslagen of niet. De telemetrie voor deze gebeurtenis is toegevoegd voor Windows 8.1, zodat deze niet beschikbaar is op Windows 7 en eerder.

Gebeurtenis-id 23: FileDelete (gearchiveerd bestand verwijderen)

Er is een bestand verwijderd. Als u de gebeurtenis wilt registreren, wordt het verwijderde bestand ook opgeslagen in de ArchiveDirectory (standaardinstelling C:\Sysmon ). Onder normale operationele omstandigheden kan deze map tot een onredelijke grootte groeien- zie gebeurtenis-id 26: FileDeleteDetected voor vergelijkbaar gedrag, maar zonder de verwijderde bestanden op te slaan.

Gebeurtenis-id 24: KlembordChange (nieuwe inhoud op het klembord)

Deze gebeurtenis wordt gegenereerd wanneer de inhoud van het klembord van het systeem wordt gewijzigd.

Gebeurtenis-id 25: ProcessTampering (wijziging van procesafbeelding)

Deze gebeurtenis wordt gegenereerd wanneer er technieken voor het verbergen van processen zoals 'hol' of 'herpaderp' worden gedetecteerd.

Gebeurtenis-id 26: FileDeleteDetected (geregistreerd bestand verwijderen)

Er is een bestand verwijderd.

Gebeurtenis-id 255: Fout

Deze gebeurtenis wordt gegenereerd wanneer er een fout is opgetreden in Sysmon. Ze kunnen optreden als het systeem zwaar wordt belast en bepaalde taken niet kunnen worden uitgevoerd of als er een fout bestaat in de Sysmon-service. U kunt eventuele bugs melden op het Sysinternals-forum of via Twitter (@markrussinovich).

Configuratiebestanden

Configuratiebestanden kunnen worden opgegeven na de configuratieswitches -i (installatie) of -c (installatie). Ze maken het eenvoudiger om een vooraf ingestelde configuratie te implementeren en vastgelegde gebeurtenissen te filteren.

Een eenvoudig XML-configuratiebestand ziet er als volgt uit:

Configuration file

Het configuratiebestand bevat een schemaversion-kenmerk in de Sysmon-tag. Deze versie is onafhankelijk van de binaire sysmon-versie en staat het parseren van oudere configuratiebestanden toe. U kunt de huidige schemaversie ophalen met behulp van de '-? config" opdrachtregel. Configuratievermeldingen bevinden zich rechtstreeks onder de Sysmon-tag en filters bevinden zich onder de tag EventFiltering.

Configuratie-vermeldingen

Configuratievermeldingen zijn vergelijkbaar met opdrachtregelswitches en bevatten het volgende

Configuratievermeldingen omvatten het volgende:

Vermelding Waarde Beschrijving
ArchiveDirectory Tekenreeks Naam van mappen op volumewortels waarin copy-on-delete-bestanden worden verplaatst. De map is beveiligd met een systeem-ACL (u kunt PsExec van Sysinternals gebruiken om toegang te krijgen tot de map met behulp van psexec -sid cmd). Standaard: Sysmon
CheckRevocation Booleaans Hiermee bepaalt u controles voor het intrekken van handtekeningen. Standaard: Waar
CopyOnDeletePE Booleaans Bewaart verwijderde uitvoerbare afbeeldingsbestanden. Standaardwaarde: Onwaar
CopyOnDeleteSIDs Tekenreeksen Door komma's gescheiden lijst met account-SID's waarvoor bestand wordt verwijderd, blijven behouden.
CopyOnDeleteExtensions Tekenreeksen Extensies voor bestanden die behouden blijven bij verwijderen.
CopyOnDeleteProcesses Tekenreeksen Procesnaam(en) waarvoor bestand wordt verwijderd, blijft behouden.
DnsLookup Booleaans Besturingselementen voor omgekeerde DNS-lookup. Standaard: Waar
DriverName Tekenreeks Gebruikt een specifieke naam voor installatiekopieën van stuurprogramma's en services.
HashAlgorithms Tekenreeksen Hash-algoritme(s) die moeten worden toegepast op hashing. Ondersteunde algoritmen zijn MD5, SHA1, SHA256, IMPHASH en * (alle). Standaardinstelling: Geen

Opdrachtregelswitches hebben hun configuratievermelding beschreven in de sysmon-gebruiksuitvoer. Parameters zijn optioneel op basis van de tag. Als een opdrachtregelswitch ook een gebeurtenis inschakelt, moet deze worden geconfigureerd via de filtertag. U kunt de schakeloptie -s opgeven om Sysmon het volledige configuratieschema af te drukken, inclusief gebeurtenistags, evenals de veldnamen en typen voor elke gebeurtenis. Dit is bijvoorbeeld het schema voor het RawAccessRead gebeurtenistype:

<event name="SYSMON_RAWACCESS_READ" value="9" level="Informational "template="RawAccessRead detected" rulename="RawAccessRead" version="2">  
  <data name="UtcTime" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="ProcessGuid" inType="win:GUID"/>  
  <data name="ProcessId" inType="win:UInt32" outType="win:PID"/>  
  <data name="Image" inType="win:UnicodeString" outType="xs:string"/>  
  <data name="Device" inType="win:UnicodeString" outType="xs:string"/>  
</event>  

Vermeldingen voor gebeurtenisfilters

Met gebeurtenisfiltering kunt u gegenereerde gebeurtenissen filteren. In veel gevallen kunnen gebeurtenissen luidruchtig zijn en alles verzamelen is niet mogelijk. U bent bijvoorbeeld alleen geïnteresseerd in netwerkverbindingen voor een bepaald proces, maar niet allemaal. U kunt de uitvoer op de host filteren om de gegevens te verzamelen te verminderen.

Elke gebeurtenis heeft een eigen filtertag onder het EventFiltering-knooppunt in een configuratiebestand:

Id Tag Gebeurtenis
1 ProcessCreate Proces maken
2 FileCreateTime Tijd voor het maken van bestanden
3 NetworkConnect Netwerkverbinding gedetecteerd
4 n/a Statuswijziging sysmon-service (kan niet worden gefilterd)
5 ProcessTerminate Proces beëindigd
6 DriverLoad Stuurprogramma geladen
7 ImageLoad Afbeelding geladen
8 CreateRemoteThread CreateRemoteThread gedetecteerd
9 RawAccessRead RawAccessRead gedetecteerd
10 ProcessAccess Proces geopend
11 FileCreate Bestand gemaakt
12 RegistryEvent Registerobject toegevoegd of verwijderd
13 RegistryEvent Registerwaardeset
14 RegistryEvent Naam van registerobject gewijzigd
15 FileCreateStreamHash Bestandsstroom gemaakt
16 n/a Sysmon-configuratiewijziging (kan niet worden gefilterd)
17 PipeEvent Benoemde pijp gemaakt
18 PipeEvent Benoemde pijp verbonden
19 WmiEvent WMI-filter
20 WmiEvent WMI-consument
21 WmiEvent WMI-consumentenfilter
22 DNSQuery DNS-query
23 FileDelete Gearchiveerd bestand verwijderen
24 KlembordChange Nieuwe inhoud op het Klembord
25 ProcessTampering Wijziging van procesafbeelding
26 FileDeleteDetected Logboekbestand verwijderen

U kunt deze tags ook vinden in de logboeken op de taaknaam.

Het onmatch filter wordt toegepast als gebeurtenissen overeenkomen. Deze kan worden gewijzigd met het onmatch kenmerk voor de filtertag. Als de waarde is "include", betekent dit dat alleen overeenkomende gebeurtenissen zijn opgenomen. Als deze optie is ingesteld "exclude", wordt de gebeurtenis opgenomen, behalve als een regel overeenkomt. U kunt zowel een insluitingsfilterset als een uitsluitingsfilterset opgeven voor elke gebeurtenis-id, waarbij overeenkomsten uitsluiten voorrang hebben.

Elk filter kan nul of meer regels bevatten. Elke tag onder de filtertag is een veldnaam van de gebeurtenis. Regels die een voorwaarde voor dezelfde veldnaam opgeven, gedragen zich als OR-voorwaarden en regels die een andere veldnaam opgeven, gedragen zich als AND-voorwaarden. Veldregels kunnen ook voorwaarden gebruiken om een waarde te vinden. De voorwaarden zijn als volgt (alle zijn niet hoofdlettergevoelig):

Condition Beschrijving
is Standaard zijn waarden gelijk aan
is elke Het veld is een van de ; gescheiden waarden
is niet Waarden verschillen
Bevat Het veld bevat deze waarde
bevat alle Het veld bevat een van de ; gescheiden waarden
bevat alle Het veld bevat alle ; gescheiden waarden
Sluit Het veld bevat deze waarde niet
sluit alle Het veld bevat geen of meer van de ; gescheiden waarden
sluit alle Het veld bevat geen van de ; gescheiden waarden
beginnen met Het veld begint met deze waarde
eindigen met Het veld eindigt met deze waarde
niet beginnen met Het veld begint niet met deze waarde
niet eindigen met Het veld eindigt niet met deze waarde
kleiner dan Lexicographicale vergelijking is kleiner dan nul
meer dan Lexicografische vergelijking is meer dan nul
Afbeelding Overeenkomen met een afbeeldingspad (volledig pad of alleen de naam van de installatiekopieën). Bijvoorbeeld: komt overeen met lsass.exec:\windows\system32\lsass.exe

U kunt een andere voorwaarde gebruiken door deze op te geven als een kenmerk. Dit sluit netwerkactiviteit uit van processen met iexplore.exe in hun pad:

<NetworkConnect onmatch="exclude">
  <Image condition="contains">iexplore.exe</Image>
</NetworkConnect>

Als u wilt dat Sysmon rapporteert welke regel overeenkomt met een gebeurtenis die wordt geregistreerd, voegt u namen toe aan regels:

<NetworkConnect onmatch="exclude">
  <Image name="network iexplore" condition="contains">iexplore.exe</Image>
</NetworkConnect>

U kunt regels voor opnemen en uitsluiten gebruiken voor dezelfde tag, waarbij regels worden overschreven door regels. Binnen een regel hebben filtervoorwaarden OR-gedrag.

In de eerder getoonde voorbeeldconfiguratie gebruikt het netwerkfilter zowel een insluitings- als uitsluitingsregel om activiteit vast te leggen op poort 80 en 443 door alle processen, behalve de processen die in hun naam staan iexplore.exe .

Het is ook mogelijk om de manier te overschrijven waarop regels worden gecombineerd met behulp van een regelgroep waarmee het type regel combineren voor een of meer gebeurtenissen expliciet kan worden ingesteld op AND of OR.

In het volgende voorbeeld ziet u dit gebruik. In de eerste regelgroep wordt een proces makengebeurtenis gegenereerd wanneer timeout.exe deze alleen wordt uitgevoerd met een opdrachtregelargument van 100, maar er wordt een proces beëindigde gebeurtenis gegenereerd voor de beëindiging van ping.exe en timeout.exe.

  <EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>

DownloadSysmon(3,1 MB) downloaden

Wordt uitgevoerd op:

  • Client: Windows 8.1 en hoger.
  • Server: Windows Server 2012 en hoger.