【安全建设】日志监控的极品工具sysmon

转载请注明出处：https://www.cnblogs.com/vitalemontea/p/16178048.html

1、前言

  最近态势感知爆了某个同事有挖矿事件的告警，打开一看，就是会通过dns去解析币商域名，但是查不到是哪个进程导致的，一度非常尴尬……

  于是开启搜集资料解决问题的道路……最开始是考虑过用脚本解决的，但是因为还没搞过所以成本较高……最后……意外发现了sysmon这个工具！

 

2、Sysmon介绍

   Sysmon是微软提供的系统事件记录工具，能够记录进程、网络、文件等行为，可以在事件查看器中查看结果，通过规则文件控制要采集的内容。

   关键词：微软提供   #来源相对安全

  参考资料：

https://blog.csdn.net/travelnight/article/details/123018881

https://www.4hou.com/posts/P5L6

https://segmentfault.com/a/1190000022927801

3、使用方法

①通过管理员权限打开cmd
②跳转盘符，并cd到sysmon.exe的目录下
③输入命令进行安装
sysmon.exe -accepteula -i sysmonconfig-export.xml         ###注：sysmonconfig-export.xml是github上的一些大佬预配的已修改好的配置文件

/*  

标准安装的话是： sysmon.exe -accepteula -i

后面要修改配置文件： sysmon.exe -c xxx.xml

*/

④再检测到告警时，通过“事件查看器”，找到

“应用程序和服务日志”-“Microsoft”-“Windows”-“Sysmon”-“Operational”
把这个日志文件右键将所有事件另存为xml格式

⑤通过sysmonview导入xml日志进行查阅，轻松愉快（笑）

图我就不上太多了，生产环境有水印，处理太麻烦了 XD

sysmonview如图，使用还是很容易的，摸索了一两分钟就明白怎么使用了，github大神还是多

如果是自己在事件管理器去看，是有点痛苦，当然爱折腾或者不信任工具可以在事件管理器里去查找效果也是一样的

 

 

4、工具链接

sysmonview：https://github.com/nshalabi/SysmonTools

sysmon:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

配置文件:https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml

有以上三个内容+我的简单教学就够啦~

 

5、后续

  20220505终于被我抓到该DNS日志了，这里还发现sysmon的一个问题：基本上超过两天就查不到历史数据了（缓存炸了），但是具体哪里设置存储体积需要研究下。

  在sysmon中搜索该域名“okex”，查到相关日志，也可以抓取到进行该dns解析的进程：360chrome……

  大概判断是误点恶意链接、具有恶意域名缓存的原因吧，还是得和实际使用人谈谈情况，查看下该时间段的访问日志

  （注：UTC时间需要+8）