Sysmon 5是流行的Windows監(jiān)視程序的最新版本，該程序?qū)⒒顒?dòng)寫(xiě)入Windows事件日志。

Sysmon代表系統(tǒng)監(jiān)視器，是后臺(tái)監(jiān)視器。這意味著安裝后無(wú)需用戶(hù)交互或圖形用戶(hù)界面即可完成工作。

實(shí)際上，安裝它所要做的就是從命令行運(yùn)行一個(gè)簡(jiǎn)短的命令來(lái)安裝監(jiān)視服務(wù)。

這是通過(guò)以下方法完成的：敲擊Windows鍵，鍵入cmd.exe，在按Enter鍵之前按住Shift鍵和Ctrl鍵，然后在Sysmon程序目錄中鍵入sysmon -accepteula -i。

提示：要再次卸載Sysmon，請(qǐng)?jiān)俅芜\(yùn)行該操作，但這一次使用sysmon -u命令。

該程序直接記錄到Windows事件日志中，這意味著您需要使用本機(jī)查看器或第三方程序(例如“ 事件日志資源管理器”)將其打開(kāi)以訪問(wèn)數(shù)據(jù)。

Sysmon 5跟蹤的所有事件都存儲(chǔ)在事件日志中的應(yīng)用程序和服務(wù)日志/ Microsoft / Windows / Sysmon / Operational中。

sysmon事件查看器

應(yīng)用程序跟蹤以下事件：

事件1：進(jìn)程創(chuàng)建-在該事件ID下列出了系統(tǒng)上創(chuàng)建的任何新進(jìn)程。

事件2：文件創(chuàng)建時(shí)間更改。

事件3：網(wǎng)絡(luò)連接-默認(rèn)情況下處于禁用狀態(tài)。要啟用它，請(qǐng)使用參數(shù)-n運(yùn)行install命令。

事件4：Sysmon服務(wù)狀態(tài)更改。

事件5：進(jìn)程終止。

事件6：驅(qū)動(dòng)程序已加載。

事件7：圖像已加載。默認(rèn)情況下禁用。要啟用它，請(qǐng)使用參數(shù)-l運(yùn)行install命令。

事件8：創(chuàng)建遠(yuǎn)程線程-記錄某個(gè)進(jìn)程在另一個(gè)進(jìn)程中創(chuàng)建線程的時(shí)間。

事件9：原始訪問(wèn)讀取-記錄進(jìn)程何時(shí)使用\\和\從驅(qū)動(dòng)器讀取操作。

事件10：進(jìn)程訪問(wèn)-記錄某個(gè)進(jìn)程打開(kāi)另一個(gè)進(jìn)程的時(shí)間。

事件11：文件創(chuàng)建。

事件12：注冊(cè)表事件(對(duì)象創(chuàng)建和刪除)-記錄進(jìn)程創(chuàng)建或刪除注冊(cè)表對(duì)象的時(shí)間。

事件13：注冊(cè)表事件(值集)-記錄進(jìn)程在注冊(cè)表中設(shè)置值的時(shí)間。

事件14：注冊(cè)表事件(鍵和值重命名)-記錄注冊(cè)表鍵或值重命名的時(shí)間。

事件15：文件創(chuàng)建流哈希-記錄創(chuàng)建文件流的時(shí)間。

事件255：錯(cuò)誤。

支持過(guò)濾，這意味著您可以使用事件過(guò)濾來(lái)過(guò)濾您感興趣的特定事件。

新的Sysmon 5引入了新的監(jiān)視選項(xiàng)，用于記錄文件創(chuàng)建和注冊(cè)表修改事件。

Sysmon的主要更新是一個(gè)后臺(tái)監(jiān)視器，該監(jiān)視器將事件記錄到事件日志中以用于安全事件檢測(cè)和取證，它引入了文件創(chuàng)建和注冊(cè)表修改日志記錄。這些事件類(lèi)型使配置過(guò)濾器成為可能，該過(guò)濾器捕獲對(duì)關(guān)鍵系統(tǒng)配置的更新以及對(duì)惡意軟件使用的自動(dòng)啟動(dòng)入口點(diǎn)的更改。

結(jié)束語(yǔ)

Sysmon 5通過(guò)將注冊(cè)表修改和文件創(chuàng)建事件引入日志記錄功能來(lái)進(jìn)一步改進(jìn)了本已不錯(cuò)的程序。由于沒(méi)有其他更改，因此可以毫無(wú)疑問(wèn)地將程序的現(xiàn)有副本升級(jí)到最新版本，以從其他事件記錄選項(xiàng)中受益。