【安全建设】日志监控的极品工具sysmon
转载请注明出处:https://www.cnblogs.com/vitalemontea/p/16178048.html
1、前言
最近态势感知爆了某个同事有挖矿事件的告警,打开一看,就是会通过dns去解析币商域名,但是查不到是哪个进程导致的,一度非常尴尬……
于是开启搜集资料解决问题的道路……最开始是考虑过用脚本解决的,但是因为还没搞过所以成本较高……最后……意外发现了sysmon这个工具!
2、Sysmon介绍
Sysmon是微软提供的系统事件记录工具,能够记录进程、网络、文件等行为,可以在事件查看器中查看结果,通过规则文件控制要采集的内容。
关键词:微软提供 #来源相对安全
参考资料:
https://blog.csdn.net/travelnight/article/details/123018881
https://www.4hou.com/posts/P5L6
https://segmentfault.com/a/1190000022927801
3、使用方法
①通过管理员权限打开cmd
②跳转盘符,并cd到sysmon.exe的目录下
③输入命令进行安装
sysmon.exe -accepteula -i sysmonconfig-export.xml ###注:sysmonconfig-export.xml是github上的一些大佬预配的已修改好的配置文件
/*
标准安装的话是: sysmon.exe -accepteula -i
后面要修改配置文件: sysmon.exe -c xxx.xml
*/
④再检测到告警时,通过“事件查看器”,找到
“应用程序和服务日志”-“Microsoft”-“Windows”-“Sysmon”-“Operational”
把这个日志文件右键将所有事件另存为xml格式
⑤通过sysmonview导入xml日志进行查阅,轻松愉快(笑)
图我就不上太多了,生产环境有水印,处理太麻烦了 XD
sysmonview如图,使用还是很容易的,摸索了一两分钟就明白怎么使用了,github大神还是多
如果是自己在事件管理器去看,是有点痛苦,当然爱折腾或者不信任工具可以在事件管理器里去查找效果也是一样的
4、工具链接
sysmonview:https://github.com/nshalabi/SysmonTools
sysmon:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
配置文件:https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
有以上三个内容+我的简单教学就够啦~
最新文章
- 强大的Spring缓存技术(上)
- iOS OC和Swift进行互相调用
- Spring中bean的配置
- SPOJ ARCTAN (数论) Use of Function Arctan
- shell 中函数放回字符串问题
- YouTube视频代码总结
- 优化C#程序的48种方法
- C# Dictionary.Add(key,value) 与 Dictionary[key]=value的区别
- [js高手之路]设计模式系列课程-组合模式+寄生组合继承实战新闻列表
- iOS 中如何判断当前是2G/3G/4G/5G/WiFi
- Android初级教程获取手机位置信息GPS与动态获取最佳方式
- 学习笔记-JS公开课三
- RabbitMQ消息队列(七):适用于云计算集群的远程调用(RPC)
- vue.js实战——vue元素复用
- Python数据类型的内置函数之tuple(元组),dict(字典),set(集合)
- MySQL相关sql语句
- liunx安装nginx
- Exception in thread "main" java.net.SocketTimeoutException: connect timed ou错误处理
- 20165211 获奖感想及java课程总结
- 关于NRF52832能否被替代的详解