Sysmon(sysinternals)

 Sysmonは、デフォルトのWindowsのイベントログでは限界があるプロセスの作成、ネットワーク接続などをイベント化できます。事故対応の観点から作成されたプロセスのリストとネットワーク接続のログだけでは事故を再構築することが非常に難しいことになります。 Sysmonは、別の監視ツールなしでドライバをインストールするだけで、このようなログをイベント化させます。

◆ Sysmonインストール

PLURAエージェント拡張機能のインストールガイド

-Sysmonをインストールするには、まずPluraAgentをインストールする必要があります。
下の画像のリンクを介してダウンロードすることができます。

♦注意事項I

– 現在のSysmon公式ホームページで提供されるSysmonのインストールファイルは、OSのバージョンの制限があります。

– 公式ホームページのOSのサポートお知らせは次のとおりです。(現在Sysmon v6.20)

– Windows Server2008以下をお使いのユーザーはSysmon v3.21をインストールする必要がSysmonを使用することができます。
下のリンクページからダウンロードすることができます。

バージョン3.21のダウンロードリンク [ Sysmon v3.21 ]

 

最新バージョンのダウンロードリンク [ Sysmon ]



解凍後Sysmonフォルダの[Shift +右クリック]をして「ここコマンドウィンドウを開く」でcmdウィンドウを開きます。

「Sysmon.exe-i[options]」コマンドを使用してSysmonをインストールすることができます。
「Sysmon.exe-h」コマンドを使用して、[options]のリストを見ることができます。

– 

[Options]

-c Update configuration of an installed Sysmon driver or dump the current configuration if no other argument is provided. Optionally take a configuration file.
-h Specify the hash algorithms used for image identification (default is SHA1). It supports multiple algorithms at the same time. Configuration entry: HashAlgorithms.
-i Install service and driver. Optionally take a configuration file.
-l Log loading of modules. Optionally take a list of processes to track.
-m Install the event manifest (done on service install as well).
-n Log network connections. Optionally take a list of processes to track.
-r Check for signature certificate revocation. Configuration entry: CheckRevocation.
-u Uninstall service and driver.

 

インストール時に-accepteulaオプションを使用すると、・ソフトウェア、ユーザーの同意であるEULA(End User License Agreement)を自動承諾された状態で設置が可能です。

次のようにカスタマイズに合わせてoptionを入力してインストールを続行します。

Sysmonのオプション関連の説明は [ダウンロードページ] にもよく説明されています。

 

♦注意事項II

– Windows Server2008のバージョン以下のユーザーが使用する必要がある、Sysmon v3.21では「-r」コマンドが存在しません。

利点を参照してインストールを進め願います。

次のように実行コマンドを入力すると、sysmonが実行状態になってPLURA Agentの上部表示
「SYSMON:インストール」に変更されます。

2. Sysmonイベント確認

プロセスの作成、プロセスイメージのSHA1ハッシュ値を記録したい場合は、次のようにオプションをチェックしてインストールします。

C:\Sysmon>Sysmon -i -h sha256 -l

sysmon%ec%84%a4%ec%b9%98%ec%88%98%ec%a0%95

実行すると、WindowsのサービスログのパスにSysmonログが追加されます。

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

 

sysmon2

◆ Sysmonの活用

イベントビューアで次のようにアプリケーションとサービスログ->Microsoft->Windows->Sysmon->Operational をクリックできます。

sysmon3

Sysmon Event ID の意味は次のとおりです。

Category ID
プロセスの作成 (Process Create) 1
作成日時の変更 (File creation time changed) 2
ネットワーク接続の検出 (Network Connection Detected) 3
Sysmonサービス状態の変更 (Sysmon service state changed) 4
プロセスの停止 (Process terminated) 5
ドライバの読み込み (Driver loaded) 6
イメージの読み込み (Image loaded) 7
スレッドイベントの作成 (CreatRemoteThread) 8
Disk/Volume Read イベント (RawAccessRead*) 9

◆ SysmonログをPLURAで確認できます。.

sysmon4

By |2018-07-17T13:42:35+00:00November 30th, 2016|Categories: インストールガイド|0 Comments

About the Author: