sysmon使用實踐
簡介
Sysmon是微軟提供的系統事件記錄工具,可以記錄進程、網絡、文件等行爲,能夠在事件查看器中查看結果,經過規則文件控制要採集的內容。在使用的工做中主要存在如下幾個問題:git
- 規則文件編寫複雜,採集少了監控不到惡意行爲,採集多了系統負載過大
- 事件查看器難用,結果數據分析困難
- 黑客入侵後,刪除日誌,沒法進行分析
如下給出已經找到的幾個解決方案,後面章節對各個部分進行介紹。
| 問題 | 解決方式 |
|---|---|
| 規則編寫困難 | 使用網上別人寫好的規則文件,在此基礎上優化 使用sysmon shell輔助規則編寫 |
| 數據分析困難 | 使用splunk進行數據分析 使用sysmon view進行數據分析 |
| 日誌被黑客刪除 | 使用splunk同步、備份數據 |
安裝
| 經常使用命令 | 說明 |
|---|---|
| sysmon -i | 最基本的安裝命令 |
| sysmon.exe -accepteula -i sysmonconfig-export.xml | 指定規則文件安裝 |
| sysmon.exe -c sysmonconfig-export.xml | 更新配置 |
| sysmon.exe -u | 卸載 |
過濾規則
Sysmon shell
直接閱讀規則說明文檔的比較難以理解,經過sysmon
shell工具能夠較好的理解sysmon規則。github
Sysmon基本的對象是even,好比process Create、Network
Connect等,這些對象包含一些屬性,過濾規則就是對這些動做的屬性的值進行篩選。
須要選的事件的屬性做爲操做對象,填寫這些對象須要知足包含什麼值等(有不少條件),最後選擇include或者exclude動做,對前面選擇的條件進行包含或者排除操做。shell
比較常見的是把一些容易感染的進程(如http),病毒行爲特徵加入到include規則中,進行監控,
把一些不太可能感染的,系統自帶的默認會產生大量事件的進行進入到exclude規則中,進行排除,以達到性能和效果的平衡。windows
在完成sysmon的安裝和數據採集後,主要的工做就是對規則進行調整和數據分析。網絡
開源的規則
- Github上有一些開源的已經優化的較好的規則能夠直接使用,見第5章參考地址
- Sysmon shell提供了一些規則,兩個大的項目與github公佈的規則是相同的。
結果展現
事件查看器
安裝sysmon後,結果能夠在事件查看器中查看。具體操做:控制面板>管理工具>事件查看器>應用程序和服務日誌>microsoft>Windows>Sysmon>Operationsapp
以下圖所示:工具
開啓sysmon採集後存在兩個問題,一是黑客入侵後,每每會刪除日誌,二是windows的事件查看器極其難用,數據分析比較困難。
能夠經過引入第三方工具來解決。性能
| 工具 | 說明 |
|---|---|
| Splunk | 實時採集數據到服務端,解決日誌備份問題。 提供簡單易用的日誌搜索,解決數據分析困難問題。 |
| Sysmon view | 圖形化展現事件關係,解決數據分析困難問題 |
Splunk配置
Splunk經過安裝數據轉發agent,指定要採集的數據,傳送的服務端,來進行日誌同步、備份。須要配置步驟以下:優化
- 安裝splunkforwarder轉發器
- 修改配置文件,指定要採集的日誌內容和索引。修改:
C:\Program
Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\default路徑下的inputs.conf文件。輸入如下內容(修改完後重啓splunk客戶端):spa
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = false
renderXml = true
index = sysmon_test
其中index爲索引名,能夠自定義。
- 在splunk服務端添加索引sysmon_test,進行接收。
若是服務端第一次接收sysmon日誌,須要安裝插件「Add-on for
MicrosoftSysmon」,用於解析sysmon格式的數據。
https://splunkbase.splunk.com...
- 在splunk中經過 index=」 sysmon_test」 搜索數據。
Sysmon view
下載地址:https://github.com/nshalabi/S...
須要將事件查看器中的日誌導出爲XML文件進行分析,簡單易用。結果以下圖所示:
參考
Github比較好的項目參考。
| 說明 | 項目地址 |
|---|---|
| Sysmon相關資源集合,包含了下面幾個項目,以及比較好的文章 | https://github.com/MHaggis/sy... |
| 已經寫好的較爲通用的規則 | https://github.com/ion-storm/... |
| 已經寫好的較爲通用的規則 | https://github.com/SwiftOnSec... |
| Sysmon相關的三個輔助工具 | https://github.com/nshalabi/S... |
後續工做
- 規則自適應,經過採集幾天的日誌進行數據分析,自動優化規則,將頻繁產生日誌的進程自動加入到排除規則中。
- 1. Sysmon
- 2. 用powershell獲取sysmon日誌
- 3. git使用實踐
- 4. nginx 使用實踐
- 5. adb使用實踐
- 6. AutoMapper 使用實踐
- 7. 【實踐】MAT使用
- 8. EventBus—使用實踐
- 9. Git使用實踐
- 10. 使用Sysmon和Splunk探測網絡環境中橫向滲透
- 更多相關文章...
- • Thymeleaf項目實踐 - Thymeleaf 教程
- • TortoiseSVN 使用教程 - SVN 教程
- • TiDB 在摩拜單車在線數據業務的應用和實踐
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Sysmon
- 2. 用powershell獲取sysmon日誌
- 3. git使用實踐
- 4. nginx 使用實踐
- 5. adb使用實踐
- 6. AutoMapper 使用實踐
- 7. 【實踐】MAT使用
- 8. EventBus—使用實踐
- 9. Git使用實踐
- 10. 使用Sysmon和Splunk探測網絡環境中橫向滲透