Sysmonは基本ウィンドウのイベントログには、限界があるプロセスの作成、ネットワーク接続などをイベント化することができます。事故対応の観点から作成されたプロセスのリストと、ネットワーク接続のログは、事故を再構成するのに非常に役立ちます。Sysmonは、別の監視ツールなしで簡単にドライバをインストールするだけで、このようなログをイベント化させてくれます。
サーバー管理者は、運営中のサーバで使用されているドライバとSysmonドライバの競合するかどうかを確認する必要があります。

1. Sysmonインストール

ysmonをインストールするには、まずPLURA Agentをインストールする必要があります。

下の画像リンクを介してダウンロードすることができます。

♦ 注意I

– 現在のSysmon公式ホームページで提供されるSysmonのインストールファイルは、OSのバージョンの制限があります。

– 公式ホームページのOSのサポートお知らせは次のとおりです。

– Windows Server 2008以下をお使いのユーザーはSysmon v3.21をインストールする必要がSysmonを使用することができます。
下のリンクページからダウンロードすることができます。

バージョン3.21のダウンロードリンク [ Sysmon v3.21 ]

 

最新版のダウンロードリンク [ Sysmon ]



解凍後Sysmonフォルダの[Shift +右クリック]をして「ここコマンドウィンドウを開く」でcmdウィンドウを開きます。

” Sysmon.exe –i [options] ” コマンドを使用してSysmonをインストールすることができます。
” Sysmon.exe -h ” コマンドを使用して、[options]のリストを見ることができます。

インストール時に-accepteulaオプションを使用すると、・ソフトウェア、ユーザーの同意であるEULA(End User License Agreement)を自動承諾された状態で設置が可能です。

Sysmonのオプション関連の説明は [ダウンロードリンク]にもよく説明されています。

♦ 参考事項 II

Windows Server 2008 バージョン以下のユーザーは以下のように実行コマンドを入力すると、sysmonが実行状態になってPLURA Agentに「SYSMON:インストール」に変更されます。

2. Sysmonイベント確認

実行すると、WindowsのサービスログのパスにSysmonログが追加されます。

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

 3. Sysmon 活用

イベントビューアで次のようにアプリケーションとサービスログ – > Microsoft-> Windows-> Sysmon-> Operationalをクリックすることができます。

 

  • Sysmon Event IDの意味は次のとおりです。
Category ID
プロセスの作成(Process Creation) 1
ファイルの作成時間を変更(A process changed a file creation time) 2
ネットワーク接続(Network Connection) 3
システム運転状態の変更(Sysmon service state changed) 4
プロセスの終了(Process terminated) 5
ドライバのロード(Driver loaded) 6
イメージのロード(Image loaded) 7
スレッドのイベント生成(CreateRemoteThread) 8
Disk / Volume Readイベント(RawAccessRead *) 9
プロセスアプローチ(ProcessAccess) 10
ファイルの作成(FileCreate) 11
レジストリイベント(RegistryEvent)
オブジェクトの作成と削除
12
RegistryEvent(値のセット) 13
RegistryEvent(キーと値の名前の変更) 14
FileCreateStreamHash 15
ServiceConfigurationChange 16
PipeEvent(パイプ生成) 17
PipeEvent(パイプ接続) 18
WmiEvent
(WmiEventFilter活動が検出されます)
19
WmiEvent
(WmiEventConsumerアクティビティ検出される)
20
WmiEvent
(WmiEventConsumerToFilter活動が検出されます)
21
DNSEvent(DNSクエリ) 22
FileDelete(ファイルの削除が検出されます) 23
ClipboardChange(クリップボードの新しいコンテンツ) 24
ProcessTampering(プロセスイメージの変更) 25
Sysmon内でエラー 255

4. SysmonログをPLURA Webページで確認することができます。

  • フィルタ検出>システム
  • 全てのログ> システム