使用sysmon监控日志进行分析

最新推荐文章于 2024-05-17 22:05:32 发布
最新推荐文章于 2024-05-17 22:05:32 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: ATT & CK 文章标签: 日志监控 sysmon
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sojrs_sec/article/details/105984811
版权

前沿

在ATT & CK分析过程中,经常会涉及到进程执行的流程分析,通过常规的工具检查有点低效,听说sysmon可以实现该功能,于是尝试安装看看

sysmon安装

工具下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

下载后放置本地桌面目录,管理员启动cmd切换到本地目录,注册sysmon

sysmon64.exe -i

cmd执行 eventvwr 调用事件查看器
应用程序和服务日志 > Microsoft > Windows > Sysmon > Operational 即为日志处

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1H4cKdb4-1588866620550)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p328)]

使用演示

我们公司有款防勒索软件,需要去识别启动应用的来源主体。比如,手工打开cmd,手工的这个动作到底是通过什么进程去启动cmd.exe的? 这个问题我们就可以通过sysmon去监控解决

首先清空当前的日志
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JMXeEDpe-1588866620552)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p329)]

手工打开cmd.exe
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3ojqBh0Z-1588866620553)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p330)]

刷新日志
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-agtXbNDr-1588866620555)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p331)]

查看日志可以看到,手工打开cmd.exe的过程正是explorer.exe进行调用
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2pAjsS5C-1588866620556)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p332)]

在ATT&CK的战术研究中,我们就可以通过这种日志去判断,非正常操作调用起cmd.exe的进程是否和explorer.exe是一样的。若不一样,我们是不是就可以通过检测这个不同点,判断是不是黑客攻击了呢?具体有兴趣的读者可以实验看看

参考链接

sysmon下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon注册:https://www.sysgeek.cn/sysmon/

sojrs_sec
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微软轻量级系统监控工具sysmon原理与实现完全分析(上篇)
weixin_33708432的博客
08-22 1081
作者:浪子_三少 Sysmon是微软的一款轻量级的系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。经常有安全人员使用这款工具去记录并分析系统进...
sysmon-queries:使用 microsoft logparser 解析 sysmon 事件日志文件的查询
06-15
系统查询 使用 Microsoft logparser 解析 sysmon 事件日志文件的查询。 Sysmon 事件格式 Sysmon 在 Windows 事件日志查看器中创建事件日志条目,但从列表视图中看不到详细信息。 可以在单个事件详细信息中看到详细信息,但很难过滤 Sysmon 数据的详细信息。 用法 这些查询允许使用 logparser 工具从 sysmon 数据字段中提取各个值。 这会将结果导出为多种格式以供进一步分析。 它们还可以与日志解析器 lizard 一起使用以在 GUI 中查看数据 我创建了不同的查询,因为生成的不同事件 ID 之间的字段不同。 示例查询 ###process-create-terminate 查询合并进程开始(1)和进程终止(5)的记录。 ###process-start-stop-by-user 查询以显示由指定用户登录启动的所有进
Linux系统kill信号量
最新发布
wangchao2679的博客
05-17 679
kill, 信号量,sysmonitor
Sysmon 日志监控
ITmoster的博客
11-08 689
Sysmon 日志是由 Microsoft 系统监视器(Sysmon)生成的事件日志,它们提供有关 Windows 上的系统级操作的详细信息,并记录进程启动、网络连接、文件和注册表修改、驱动程序和服务活动以及 WMI 操作等活动,通过分析 Sysmon 日志,安全专家可以检测潜在风险、发现异常并响应安全事件,以增强整体系统监控和安全性。
ELK日志监控平台搭建记录
qq_41999391的博客
01-19 645
1:前提 :服务器已搭建java环境 1.8 2:elk步骤 :首先搭建ES做数据存储,然后搭建Kibana做数据可视化。最后搭建Logstash做数据流转 ::1:搭建ES 1:在服务器根目录下 创建名为ELK文件夹 1:cd / 2: mkdir elk 3:cd elk 2: 下载ES包:wget https://artifacts.elastic....
sysmon日志辅助工具
Eric.zhong
07-01 3227
文章目录sysmon介绍sysmon 部署Sysmon ViewSysmon Shell sysmon介绍 如果是做过应急响应的朋友,对sysmon应该都比较熟悉了,它是一款强大的轻量级监控工具,由Windows Sysinternals官方出品的。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供相关进程创建、网络连接和文件创建更改时间等详细信息。 不过有许多人都无法很好的运用sysmon,因为它必须要有合适的配置文件避免过多的日志量,它必须要有非常良好的日志分析能力来逐层分析
Oracle (7)Online Redo Log Files
不会编程的猫星人
10-28 687
Oracl Online Redo Log Files超级详细
Sysmon 微软官方免费主机监控工具
04-16
这些事件记录在Windows事件日志中,可以使用各种工具进行查询和分析。通过这种方式,Sysmon能够帮助用户检测到潜在的恶意行为,如病毒、木马或其他恶意软件的活动。 在安装Sysmon时,我们有两个版本可供选择:...
进程分析工具Sysmon.zip
05-28
3. **文件系统活动记录**:Sysmon监控文件创建、删除、重命名和属性更改,这有助于发现恶意软件的文件操作行为。 4. **注册表活动监控**:通过对注册表项的创建、删除和修改进行日志记录,Sysmon可以帮助发现试图...
微软sysmon使用总结1
08-03
1. 应急响应:sysmon可以在应急响应中使用监控系统活动,记录到windows事件日志,提供详细的日志信息。 2. 恶意软件检测:sysmon可以监控到恶意软件的行为,记录到windows事件日志,提供详细的日志信息。 sysmon...
SysmonSearch:通过可视化Sysmon的事件日志来调查可疑活动
02-05
SysmonSearch通过汇总Microsoft Sysmon生成的事件日志,使事件日志分析更有效,更省时。 系统总览 SysmonSearch使用Elasticserach和Kibana(以及Kibana插件)。 弹性ser Elasticsearch收集/存储Sysmon的事件日志。...
sysmon安装包包含补丁.zip
08-09
使用Sysmon时,除了安装必要的系统补丁,还应关注日志管理,因为Sysmon产生的日志数据量较大,如果不加以管理和过滤,可能会占用大量的存储空间。可以结合其他工具,如Log Parser或Splunk,对日志数据进行分析和...
CK04# ClickHouse日志存储调优总结
gaoliang1719的专栏
08-07 978
引言随着ClickHouse日志存储上线,开启替换ElasticSearch的切换过程,是时候为过去一段时间ClickHouse各种尝试做个总结。本文的主要内容有:集群规模与调优表结构设计要点其他设计点补充一、集群规模与调优一个集群多少节点,节点使用什么样的配置,总共需要多少个集群。在规划时首先需要考虑的,并在实践中也需要相互验证与调整。使用冷热分离架构,一个节点挂2T的...
CK03# ClickHouse日志存储设计点梳理
gaoliang1719的专栏
07-09 1353
引言最近周末比较忙,卷的有点累,上周的文章掉了链子,这周赶一篇。本文主要梳理了使用ClickHouse作为日志存储的设计点,主要内容有:应用日志存储时长定制ClickHouse数据的冷热存储ClickHouse数据迁移与删除ClickHouse查询性能调优点一、应用日志存储时长定制公司所有的应用存储日志时长统一设置固定存储时长,比如:1个月、2个月。这种策略也常被公司采用...
Clickhouse 踩坑之旅 ---- MergeTree不合并分区的问题
java_ying的博客
07-07 1969
clickhouse 分区不合并 、 too many parts
Linux中阶—日志采集rsyslog(二)
亓荼的博客
04-19 2242
#rsyslog软件定义: rsyslog是多线程、高并发、模块化的日志系统,rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。#软件架构如下: Input模块包括imklg、imsock、imfile、imtcp、imudp 等,是消息来源; Queue模块负责消息的存储,从Input传入的未经过滤的消息放在主队列中; Filetr模块处理消息的分析和过滤,rsyslog可以根据消息的任何部分进行过滤; action qu
clickHouse日志查看
jj89929665的博客
11-17 2438
在集群模式下或者情况下无法找到ck日志时,输入。查找相关.log结尾文件。
微软sysmon使用
Keepb1ue的博客
03-19 4426
一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,十分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序在操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。 SysmonSysinternals开发,同时具有windows版和linux版。 二、Sysmon安装 window
系统监视器(Sysmon)工具的使用
ducc20180301的博客
08-03 4165
一、Sysmon介绍 Sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。系统监视器(Sysmon)是Windows系统服务和设备驱动程序,一旦安装在系统上,便会驻留在系统重新引导期间,以监视系统活动并将其记录到Windows事件日志中。它提供有关进程创建,网络连接以及文件创建时间更改的详细信息。可以使用相关日志收集工具,收集事件并随后对其进行分析,可以识别恶意或异常活动,并了解入侵者和恶意软件如何在您的网络上运行。 Sysmon包括以下功能: 1、
sysmon测试温度
09-19
sysmon是一种系统监控工具,可以用来监测计算机硬件的各项参数,其中包括温度。通过sysmon测试温度,我们可以及时了解计算机的温度情况,保护计算机免受过热的危害。 要使用sysmon测试温度,首先需要安装sysmon软件。安装完成后,我们可以通过运行sysmon的命令来开始温度测试。sysmon会读取计算机的传感器数据,并将温度数据显示在屏幕上。 在进行温度测试时,我们应该选择一个负荷高的计算任务,例如运行多个程序或进行复杂的计算。通过增加计算机的工作负荷,可以使计算机的温度上升,进而检测系统的散热能力。 在测试过程中,我们可以观察sysmon显示的温度数据。如果温度过高,可能说明计算机的散热系统存在问题,需要进行修理或升级。正常情况下,我们希望计算机的温度处于正常范围内,以保持系统的稳定性和性能。 除了使用sysmon进行温度测试外,我们还可以通过其他方法来监测计算机的温度。例如,可以使用硬件监控软件或BIOS设置来获取相关数据。然而,sysmon是一种功能强大且易于使用的工具,可以为我们提供实时的温度监控。 总结而言,sysmon是一种方便的系统监控工具,可以用于测试计算机的温度。通过sysmon,我们可以及时了解计算机的温度情况,以保护计算机免受过热的危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值