Sysmon是什么？它在计算机安全中扮演什么角色？

Sysmon 系统监控工具详解

Sysmon 是由 Windows Sysinternals 出品的一款系统监控工具，它是 Windows 系统服务和设备驱动程序，一旦安装在系统上，Sysmon 会在系统重新启动期间持续运行，以监视系统活动并将其记录到 Windows 事件日志中，通过使用相关日志收集工具收集并分析这些事件，用户可以识别恶意或异常活动，了解入侵者和恶意软件在网络中的运行方式，本文将详细介绍 Sysmon 的功能、使用方法以及常见问题解答。

一、Sysmon 功能

Sysmon 提供多种功能，用于详细监视系统活动，以下是 Sysmon 的主要功能：

1、进程创建监控：

记录当前和父进程的完整命令行。

使用 SHA1（默认值）、MD5、SHA256 或 IMPHASH 记录进程映像文件的哈希。

可以同时使用多个哈希。

在进程创建事件中包含进程 GUID，即使 Windows 重用进程 ID 时也可以使事件相关联。

在每个事件中都包含一个会话 GUID，以允许在同一登录会话上关联事件。

2、网络连接监控：

可选地记录网络连接，包括每个连接的源进程、IP 地址、端口号、主机名和端口名。

3、文件创建时间更改检测：

检测文件创建时间的更改，以了解文件真正创建的时间，修改文件创建时间戳是恶意软件常用的技术，用来掩盖其踪迹。

4、注册表变更监控：

如果注册表中发生更改，则自动重新加载配置。

5、规则过滤：

动态包含或排除某些事件的规则过滤。

6、早期启动过程监控：

从启动过程的早期开始生成事件，以捕获甚至复杂的内核模式恶意软件进行的活动。

7、其他监控选项：

记录磁盘和卷的原始读取访问。

记录驱动程序或 DLL 的加载及其签名与哈希。

二、安装与配置

安装 Sysmon

可以使用以下命令行选项来安装 Sysmon：

sysmon64 -i [<configfile>]：安装服务和驱动程序，可选地采用配置文件。

sysmon64 -c [<configfile>]：更新已安装的 Sysmon 驱动程序的配置或转储当前配置，可选地采用配置文件。

sysmon64 -m：安装事件清单（以及在服务安装时隐式完成）。

sysmon64 -s：打印配置架构定义。

sysmon64 -u [force]：卸载服务和驱动程序，即使未安装一些组件，使用“-u force”也会导致卸载继续进行。

示例：

使用默认设置进行安装（进程映像已经过 SHA1 哈希处理，且没有网络监视）
sysmon -accepteula -i
使用配置文件安装 Sysmon
sysmon -accepteula -i c:windowsconfig.xml

更新配置

转储当前配置
sysmon -c
使用配置文件重新配置活动的 Sysmon
sysmon -c c:windowsconfig.xml
将配置更改为默认设置
sysmon -c

三、日志事件解析

Sysmon 会生成各种类型的事件，每种事件类型都有特定的事件 ID 和相关信息，以下是一些常见的事件 ID 及其描述：

事件 ID 1：进程创建：

提供有关新创建进程的扩展信息，包括完整命令行、ProcessGUID 和哈希值。

事件 ID 2：进程更改文件创建时间：

当进程明确修改文件创建时间时，将注册更改文件创建时间事件，此事件有助于跟踪文件的实际创建时间。

事件 ID 3：网络连接：

记录计算机上的 TCP/UDP 连接，默认禁用，每个连接都通过 ProcessId 和 ProcessGuid 字段链接到一个进程。

事件 ID 4：Sysmon 服务状态已更改：

报告 Sysmon 服务的状态（已启动或已停止）。

事件 ID 5：进程终止：

报告进程的终止时间，提供进程的 UtcTime、ProcessGuid 和 ProcessId。

事件 ID 6：驱动程序已加载：

提供系统上正在加载的驱动程序的相关信息，包括已配置的哈希以及签名信息。

事件 ID 7：映像已加载：

记录特定进程中加载模块的时间，默认处于禁用状态，需要使用“-l”选项进行配置。

事件 ID 8：CreateRemoteThread：

检测一个进程在另一个进程中创建线程的时间，通常用于代码注入。

事件 ID 9：RawAccessRead：

检测进程使用“\.”从驱动器进行读取操作的时间，通常用于数据泄漏。

四、FAQs

Q1: Sysmon 是否会影响系统性能？

A1: Sysmon 设计为轻量级工具，对系统性能的影响较小，监视大量事件（如所有图像加载事件）可能会产生显著的日志记录量，从而影响性能，建议根据实际需求配置规则过滤，以减少不必要的日志记录。

Q2: Sysmon 如何检测恶意活动？

A2: Sysmon 通过监视系统活动并记录到事件日志中，结合日志分析工具，可以识别出与正常行为偏离的活动，通过检测文件创建时间的更改、不寻常的网络连接或进程创建活动，可以发现潜在的恶意软件活动，Sysmon 还可以检测内核模式的恶意软件活动，通过早期启动过程监控来捕获复杂威胁。

Sysmon 是一款功能强大的系统监控工具，能够帮助用户实时监控系统活动并识别潜在的安全威胁，通过合理配置和使用日志分析工具，用户可以充分利用 Sysmon 提供的详细信息来保护系统安全。

以上内容就是解答有关“sysmon”的详细内容了，我相信这篇文章可以为您解决一些疑惑，有任何问题欢迎留言反馈，谢谢阅读。