Сегодня компания Microsoft объявила о том, что в следующем году она интегрирует Sysmon в Windows 11 и Windows Server 2025, что сделает ненужным развертывание отдельных инструментов Sysinternals.
В следующем году в обновлениях Windows 11 и Windows Server 2025 функциональность Sysmon будет встроена в Windows. Функциональность Sysmon позволяет использовать пользовательские файлы конфигурации для фильтрации перехваченных событий. Эти события записываются в журнал событий Windows, что позволяет использовать их в самых разных областях, в том числе в приложениях безопасности
- говорится в заявлении создателя Sysinternals Марка Руссиновича
Sysmon (или System Monitor) – это бесплатный инструмент Microsoft Sysinternals, который можно настроить на отслеживание и блокирование вредоносной/опасной активности и регистрацию событий в журнале событий Windows.
По умолчанию Sysmon отслеживает основные события, такие как создание и завершение процессов. Однако можно создать расширенные файлы конфигурации, которые позволят вам отслеживать и выполнять более сложные действия, такие как Мониторинг вмешательства в процесс, DNS-запросы, создание исполняемых файлов, изменения в буфере обмена Windows и автоматическое Резервное копирование удаленных файлов.
Sysmon – очень популярный инструмент для поиска угроз и диагностики постоянных проблем в Windows, но его обычно нужно устанавливать на устройства по отдельности, что усложняет управление и снижает охват в больших ИТ-средах.
Теперь Sysmon поддерживается в Windows, пользователи и администраторы могут установить его через диалог настроек «Дополнительные функции» Windows 11 и получать новые обновления программного обеспечения непосредственно через Windows Update, что значительно упрощает развертывание и управление.
По словам Microsoft, встроенные возможности сохранят стандартный набор функций Sysmon, включая поддержку пользовательских файлов конфигурации и расширенную фильтрацию событий.
После установки администраторы могут включить его через командную строку, используя следующую команду для базового мониторинга:
sysmon -i
Для более продвинутого мониторинга с использованием пользовательского файла конфигурации пользователи могут развернуть его с помощью следующей команды:
sysmon -i <name_of_config_file>
Например, если вы хотите регистрировать, когда создаются новые исполняемые файлы в папках C:\ProgramData\ и C:\Users\, вы можете использовать следующий файл конфигурации:
<Sysmon schemaversion="4.90">
<!-- Capture all hashes -->
<HashAlgorithms>MD5,SHA256</HashAlgorithms>
<EventFiltering>
<!-- Log executable file creations -->
<FileExecutableDetected onmatch="include">
<TargetFilename condition="begin with">C:\ProgramData\</TargetFilename>
<TargetFilename condition="begin with">C:\Users\</TargetFilename>
</FileExecutableDetected>
</EventFiltering>
</Sysmon>
Теперь, когда новый исполняемый файл создается в одной из этих директорий, Windows записывает его в журнал событий, как показано ниже.
Другие популярные события, регистрируемые Sysmon, включают:
- Event ID 1 – Создание процесса: Полезно для обнаружения подозрительной активности командной строки.
- Event ID 3 – Сетевое подключение: Регистрирует исходящие соединения для обнаружения аномалий или активности C2.
- Event ID 8 – Доступ к процессу: Может выявить попытки доступа к LSASS для дампа учетных данных.
- Event ID 11 – Создание файлов: Отслеживает создание файлов сценариев, часто используемых для создания вредоносных программ.
- Event ID 25 – Process Tampering: Помогает выявить скрытие процессов и другие методы обхода.
- Event ID 20 и Event ID 21 – События WMI: Захватывает постоянную активность через потребителей и фильтры WMI.
Microsoft также подтвердила, что в следующем году наконец-то выпустит полную документацию по использованию Sysmon, а также представит новые функции управления предприятием и возможности обнаружения угроз на основе искусственного интеллекта.
Пока же, если вы хотите протестировать или развернуть Sysmon в своей среде, вы можете сделать это с помощью отдельного инструмента на сайте Sysinternals и рассмотрев пример конфигурации Sysmon от SwiftOnSecurity.
Комментарии (0)