Security Lab

Sysmon 13

Sysmon
Sysmon

System Monitor (Sysmon) - сервис, совершающий мониторинг всех процессов в системе Windows. Утилита содержит подробные сведения о запуске процессов, сетевых соединений, а также изменениях времени создания файлов.
Сбор и анализ событий, собранных с помощью агентов Windows Event Collection или SIEM, позволяют определить принцип совершения вредоносной или аномальной активности в сети.
Недостатками Sysmon являются отсутствие самостоятельного анализа сгенерированных событий и неспособность защитить себя от злоумышленников.

System Monitor позволяет:
1. Записывать хэши сохранённых файлов в SHA1 (по умолчанию), MD5, SHA256 или IMPHASH.
2. Использовать несколько хешей одновременно.
3. Использовать журнал GUID для быстрого поиска и установления связи между собранными событиями.
4. Записывать в журнале подробные данные о сетевых соединениях, загрузках драйверов и библиотек с их цифровыми подписями и хешами.
5. Определить настоящее время создания файла даже после преднамеренного изменения даты создания файла.

Начиная с версии 13, Sysmon позволяет выявлять вмешательства в процессы Windows с использованием техник process hollowing и process herpaderping. Для обхода обнаружения решениями безопасности киберпреступники часто внедряют свой вредоносный код в легитимные процессы Windows, и Sysmon позволяет выявлять эти вмешательства.

Sysmon
Скачать

Версия: 13

Ссылки: Адрес производителя

System Monitor (Sysmon) - сервис, совершающий мониторинг всех процессов в системе Windows. Утилита содержит подробные сведения о запуске процессов, сетевых соединений, а также изменениях времени создания файлов.
Сбор и анализ событий, собранных с помощью агентов Windows Event Collection или SIEM, позволяют определить принцип совершения вредоносной или аномальной активности в сети.
Недостатками Sysmon являются отсутствие самостоятельного анализа сгенерированных событий и неспособность защитить себя от злоумышленников.

System Monitor позволяет:
1. Записывать хэши сохранённых файлов в SHA1 (по умолчанию), MD5, SHA256 или IMPHASH.
2. Использовать несколько хешей одновременно.
3. Использовать журнал GUID для быстрого поиска и установления связи между собранными событиями.
4. Записывать в журнале подробные данные о сетевых соединениях, загрузках драйверов и библиотек с их цифровыми подписями и хешами.
5. Определить настоящее время создания файла даже после преднамеренного изменения даты создания файла.

Начиная с версии 13, Sysmon позволяет выявлять вмешательства в процессы Windows с использованием техник process hollowing и process herpaderping. Для обхода обнаружения решениями безопасности киберпреступники часто внедряют свой вредоносный код в легитимные процессы Windows, и Sysmon позволяет выявлять эти вмешательства.