Sysmon配置

于 2024-02-14 17:12:26 发布
阅读量223 收藏 1
点赞数 5
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fys15925190510/article/details/136114321
版权

Sysmon是一款系统监视器,它是Windows系统服务和设备驱动程序,用来监视系统活动并将其记录在Windows事件日志中。以下是Sysmon的配置教程:

安装Sysmon:

首先,以管理员身份打开命令提示符或PowerShell窗口。

使用以下命令来安装Sysmon:sysmon -accepteula -i。这里的-i参数表示安装,-accepteula参数用于接受EULA(最终用户许可协议)。

配置Sysmon:

Sysmon可以通过XML配置文件进行自定义配置。你可以在网上找到一个推荐的XML配置文件,并在此基础上进行修改。

使用以下命令将配置文件应用到Sysmon:sysmon -c ndpzwj.xml。这里的ndpzwj.xml是你的配置文件路径。

卸载Sysmon:

如果你需要卸载Sysmon,可以使用以下命令:sysmon -u。

查看Sysmon配置:

你可以使用sysmon -c命令来查看当前Sysmon的配置。

使用sysmon -c --命令可以查看所有可用的配置选项。

使用Sysmon进行监控:

Sysmon可以监视系统活动,包括文件创建、网络连接等。你可以根据需要配置Sysmon来监视特定的活动。

监视结果将记录在Windows事件日志中,你可以使用事件查看器来查看这些日志

点个赞吧,年轻人

时伐
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sysmon-config:Sysmon配置文件模板,具有默认的高质量事件跟踪
02-04
sysmon-config:Sysmon配置文件模板,具有默认的高质量事件跟踪
Sysmon工具使用
travelnight的博客
02-19 1万+
Sysmon工具使用 一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,失分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序再操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。 Sysmon同时具有windows版和linux版。 二、事件记录 参考微软官方文档,Sysmo
Sysmon工具的下载、安装、使用、卸载、注意事项
Dawn3AM
06-19 3880
筛选ID 22【关注点: Image QueryName User】注意 sysmon文件需要手动清除。
Sysmon 日志监控
ITmoster的博客
11-08 505
Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。
sysmon 安装与配置,浅析
最新发布
yousu272003的博客
11-11 571
sysmon作为微软的系统监控软件(只监不控),记录比较详细,但是不会分析,有时候也许借助splunk将日志发送到远端保存并分析,效果才更好。运行:eventvwr 打开事件查看器,转到 应用程序和服务日志,Microsoft ,Windowssysmon。如图所示:很明显,sysmon监视到了 系统的远程连接,以及为该链接创建的新的进程。现在我们拷贝并安装一个软件:好压纯净版,看看sysmon的记录情况。参数文件分享:如果上述链接无法下载,请从我的云盘下载。
sysmon-modular:sysmon配置模块的存储库
04-27
sysmon-modular | Sysmon配置存储库,每个人都可以自定义 这是一个Microsoft Sysinternals Sysmon配置存储库,设置了模块化模块,以便于维护和生成特定配置。 在PowerShell脚本成功合并并且Sysmon在Azure Pipeline...
Posh-Sysmon, 用于创建和管理Sysmon配置文件的PowerShell模块.zip
09-18
Posh-Sysmon, 用于创建和管理Sysmon配置文件的PowerShell模块 高级 sysmonSysmon 3.0或者上述模块,用于创建和管理 for v2.0配置文件。 System ( Sysmon ) 是一个 Windows 系统服务和设备驱动程序,它是来自...
N4Sysmon:Node4定制的sysmon配置
03-18
N4Sysmon:Node4定制的sysmon配置
noisy-sysmon:嘈杂的(即非用于生产的)Microsoft Sysmon配置文件,其中包含每个事件的“名称”元数据
05-02
嘈杂的Sysmon配置这是一个有目的的嘈杂的Microsoft Sysmon配置文件,其中包含每个事件中的规则名称元数据。 这对于实验室测试应该是有用的; 实际上,我是专门为测试Sysmon的Splunk Technology附件而创建的。 它使用...
微软sysmon使用
Keepb1ue的博客
03-19 4283
一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,十分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序在操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。 SysmonSysinternals开发,同时具有windows版和linux版。 二、Sysmon安装 window
Shhmon:通过驱动程序卸载消除Sys​​mon
02-05
Shhmon-Neuter Sysmon通过卸载其驱动程序 Usage: Shhmon.exe <hunt> 尽管可以在安装时重命名Sysmon的驱动程序,但始终将其加载在385201高度上。此工具的目的是对我们的防御工具始终在收集事件的假设提出质疑。 Shhmon使用以下策略定位并卸载驱动程序: 1.使用fltlib!FilterFindFirst和fltlib!FilterFindNext枚举系统上的驱动程序,以代替对注册表的爬网。 2a。 如果在海拔385201处找到了驱动程序,它将使用kernel32!OpenProcessToken和advapi32!AdjustToke
sysmon-dfir, 源配置及利用微软Sysmon检测恶意物的方法.zip
09-17
sysmon-dfir, 源配置及利用微软Sysmon检测恶意物的方法 Sysmon - DFIR用于学习部署,管理和搜索 Microsoft Sysmon的资源的精选列表。 包含演示。部署方法。配置文件示例。博客和其他github存储库。 Sysmon学习资源通用演示文稿使用 Sysmon
关于sysmon的基本使用(1)
热门推荐
qq_34367997的博客
07-05 1万+
sysmon的基本使用(1) 安装 下载地址 : https://download.sysinternals.com/files/Sysmon.zip Install: Sysmon.exe -i <configfile> # 指定配置文件安装 sysmon -accepteula –i -n # 一键安装(使用sha1进行散列的过程映像...
【golang】调度系列之sysmon
shanxiaoshuai的博客
09-24 389
回到sysmonsysmon是一个管理线程或者说守护线程,其是对GMP调度架构的补充和兜底。通过前面的几篇介绍,可以知道GMP的调度完全是主动协作式的调度。但该对象只是维护一些全局的数据,而不承担实际的调度职责,并不值得单独介绍,感兴趣的同学可以自己了解一下。由于sysmon函数是循环不返回的,所以对应的m(也就是线程)永远运行sysmon,并且不需要获取p。sysmontick表示sysmon观测到的调度和系统调用情况,schedtick、syscalltick为实际的调度和系统调用情况。
windows攻防体系-sysmon攻防
yyj173637的博客
04-21 712
Sysmon是微软的一款轻量级系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被收购,现在属于Sysinternals系列工具。它通过系统服务和驱动程序实现记录进程创建,网络连接以及文件创建时间更改的详细信息,并把相关的信息写入并展示在windows的日志事件里。Sysmon安装后分为用户态两部分,用户态通过实现对网络数据记录,通过。
关于SysMon卸载后的一些问题
百里飞猴的博客
07-17 849
关于SysMon卸载后的一些问题 转载自:https://www.jianshu.com/p/2c881f2c1705 问题 直接使用Sysmon.exe -u卸载后,重新安装发现 一直提示the driver SysmonDrv is already registered 解决办法 del c:\windows\sysmon.exe del c:\windows\sysmondrv.sys reg delete HKLM\SYSTEM\CurrentControlSet\Services\SysmonDr
Sysmon使用方法
不忘初心,护天下安全!
09-28 539
日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,失分头疼。Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序再操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。Sysmon同时具有windows版和linux版。
Sysmon勘验、分析现场(主机监控)
墨痕诉清风的博客
07-30 599
Sysmon是一个老牌安全工具,自去年发布新功能后越发地强大,在我们勘验现场中,尤其是勘验被入侵现场有着非常明显的优势,实为利器,推荐给大家。 一、Sysmon是什么 系统监视器(Sysmon)是一种Windows系统服务和设备驱动程序,一旦安装在系统上,就会在系统重新启动时保持驻留状态,以监视和记录系统活动到Windows事件日志中。 它提供有关进程创建,网络连接,文件创建时间更改等详细信息。 通过使用Windows事件收集或SIEM代理收集它生成的事件并随后对其进行分析,可以识别恶意或异常活动,
系统监视器(Sysmon)工具的使用
ducc20180301的博客
08-03 3998
一、Sysmon介绍 Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。 Sysmon包括以下功能: 1、
sysmon测试温度
09-19
sysmon是一种系统监控工具,可以用来监测计算机硬件的各项参数,其中包括温度。通过sysmon测试温度,我们可以及时了解计算机的温度情况,保护计算机免受过热的危害。 要使用sysmon测试温度,首先需要安装sysmon软件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值