当前位置: win11系统之家 >  系统教程 >  系统安装教程 >  sysmon显示器连接线

sysmon显示器连接线 微软sysmon安装配置教程

更新时间:2023-06-08 16:01:48作者:xiaoliu

  sysmon显示器连接线,Sysmon显示器连接线是连接计算机和显示器之间的必要配件,而微软Sysmon是一款功能强大的系统监控工具。在安装和配置Sysmon之前需要确保连接线的质量和稳定性。接下来我们将一步步教您如何安装和配置微软Sysmon,以便有效地监控和保护您的计算机系统。

微软sysmon安装配置教程

结果查看

按键Win+X->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational如果需要卸载使用以下命令sysmon.exe -u

安装常见错误

错误1

sysmon显示器连接线 微软sysmon安装配置教程

原因:配置文件与本地安装sysmon版本不一致导致,修改配置文件中sysmon版本为本地安装版本即可解决。

错误2:

sysmon显示器连接线 微软sysmon安装配置教程

原因:本地安装用户没有启动管理员权限,通过win+x 启动windows powershell 管理员安装即可解决日志通过事件查看器查看,因为sysmon的日志是以evtx格式存储的。具体事件路径为应用程序和服务日志-Microsoft-Windows-Sysmon-Operational如下图所示,或者你直接去C盘指定路径查文件也行

sysmon显示器连接线 微软sysmon安装配置教程
如同windows自带的系统日志,安全日志有事件ID一样,sysmon日志也有对应的事件ID,最新版本支持23种事件。
Event ID 1: Process creation             进程创建
Event ID 2: A process changed a file creation time       文件创建时间更改
Event ID 3: Network connection           检测到网络连接
Event ID 4: Sysmon service state changed   系统服务状态改变
Event ID 5: Process terminated           检测到网络连接
Event ID 6: Driver loaded                驱动程序已加载
Event ID 7: Image loaded                 镜像加载
Event ID 8: CreateRemoteThread           已检测到创建远程线程
Event ID 9: RawAccessRead                事件检测进程何时使用\
Event ID 10: ProcessAccess               已访问的进程
Event ID 11: FileCreate                  文件创建
Event ID 12: RegistryEvent (Object create and delete)添加或删除注册表对象
Event ID 13: RegistryEvent (Value Set)   注册表值设置
Event ID 14: RegistryEvent (Key and Value Rename)   注册表对象已重命名
Event ID 15: FileCreateStreamHash        已创建文件流
Event ID 17: PipeEvent (Pipe Created)    管道创建
Event ID 18: PipeEvent (Pipe Connected)  管道已连接
Event ID 19: WmiEvent (WmiEventFilter activity detected)     检测到WmiEventFilter活动
Event ID 20: WmiEvent (WmiEventConsumer activity detected)   检测到WmiEventConsumer活动
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)检测到WmiEventConsumerToFilter活动 
Event ID 22: DNSEvent (DNS query)        DNS查询
Event ID 255: Error                      错误
  

常用的有事件ID 1,监控进程创建,恶意进程的创建,包括他的父进程,PID,执行命令等等。之前遇到过一起,开启会自动运行powershell,但查了启动项,任务计划,wmi都没发现痕迹,苦苦无解,然后使用sysmon监控进程创建,最终定位是谁拉起了powershell,往上溯源找到是一个伪造成正常程序图标和后缀的link文件,存放在Startup目录下,链接到存放在另一处的vbs脚本。下图即为进程创建监控日志,可以看到几个关键点,创建的进程,命令行,以及父进程。

sysmon显示器连接线 微软sysmon安装配置教程

事件ID3,监控网络连接,当恶意程序外连CC服务器或者矿池等操作的时候,可以监控到是哪个进程发起的连接。这边也举个例子,之前遇到一种病毒,当你去用进程管理器或分析工具去查看时,该病毒会自动退出,防止被检测到,并且随机一段时间重启,但态势感知上发现确实有挖矿行为,使用sysmon监控,当他不定时运行时,即可捕捉到他连接矿池的行为,从而定位到进程。下图为网络连接监控日志,可以看到网络连接的五元组,和对应的进程。

sysmon显示器连接线 微软sysmon安装配置教程

事件ID22,是这次重磅推出的新功能。DNS查询记录,这功能让应急响应人员可以很轻松的通过域名定位到进程,并且你即使开启了dnscache服务,也能定位到原先进程,sysmon原理没有分析过,猜测是监控了一些跟域名解析相关的API,而dnscache是这些API调用后下一步才会用到的,所以先于dnscache监控到原始进程。dnscache是一个缓存服务,简单来讲,就是会代理其他进程进行dns解析,并且会缓存解析结果,下一次解析就不再发送请求,读取缓存内容返回给指定程序即可。所以大家使用内存扫描工具,可能会定位到dnscache服务进程。在监测设备上发现可疑域名解析时,通过这个功能,可以轻松定位到发起解析的进程,从而进一步分析进程文件是否确实有问题。如下图所示,为dns查询日志,会记录解析域名和结果,以及对应的进程PID和路径。

sysmon显示器连接线 微软sysmon安装配置教程

我就举几个常用的事件类型来讲解,其他的事件类型我后续再对应案例具体分析吧,大家可以参考文章最后面freebuf链接以及微软链接,会有比较详细的说明。其实sysmon最大优势就是可以实时监控,往往会遇到这么一个情况。检测设备检测到可疑行为,会有一个时延,而当工程师去查看设备时,又有一个时延,所以经常发现病毒的时候,已经滞后很长时间了,这个时候再去排查,可能病毒不在运行了,杀软又扫描不出来,无从下手,实际上也确实没有比较好的方法,虽然通过各种手段尝试或许能找到,比如查看可疑服务,任务计划,逐条分析排查,但需要消耗的时间会比较大,这个时候其实可以以使用sysmon进行后续监控,当再一次发现的时候进行日志分析处理。一来在没有思路的时候,可以以这个方式来缓冲一下,给自己留点时间思考分析,或者和其他人讨论下有没遇到过,或者思路啥的。二来,确实觉得这个时候没法查下去。或再查下去很费时间,用户可能办公也还要使用主机,但也不能跟用户说查不到没办法,这个时候就可以以此来为这次排查做个收尾闭环,并给出下一步计划,说明这次排查分析没发现病毒运行痕迹,可能处于潜伏,但我们在系统上安装了监控,后续再次发现问题的时候,我们可以提取日志分析定位问题,这样让用户知道当前进度以及困难之处,和下一步的安排。 0x03 配置文件上面说了如何使用以及各类日志和应用场景,并且提到使用推荐的xml文件进行过滤,因为这个xml文件其实是一个推荐模板,可能会需要根据具体场景进行修改,下面就分析下这个xml文件,以及如何修改满足需求。首先说明下有哪些事件过滤器。其中只有ID 4和16无法过滤,其他可以根据ID标签来过滤。

sysmon显示器连接线 微软sysmon安装配置教程

然后我们看下配置文件,这个配置文件基本每行都有做注释,很详细了。每个事件过滤器都写进去了,并提供推荐配置,只需在这基础上修改。先看一下结构。

sysmon显示器连接线 微软sysmon安装配置教程

所有规则都在过滤器<EventFiltering>标签里。然后各类事件单独封装在各个<RuleGroup>里,也就是说根据上面支持的事件过滤器,一共有15个<RuleGroup>,属性groupRelation都设置为or,表明事件标签里同一规则的每个项之间是或的关系。 选择以下事件标签来讲解,标签名称为FileCreateTime,表明过滤进程修改文件创建时间事件,属性onmatch为include表示匹配以下标签规则的才记录日志,exclude值,表示不匹配以下标签规则的才记录日志,exclude规则覆盖include规则。事件标签内可以看到多个Image项,各项由于groupRelation设置为or,各项之间是或的关系,看下图存在两个相同的事件标签,但一个是include,一个是exclude,相同事件标签之间是与的关系。按下面规则表示不匹配镜像路径为“OneDrive.exe”或“C:\Windows\system32\backgroundTaskHost.exe”或包含“setup”字符或……的,同时只匹配镜像路径以“C:\Users”开头或以“.exe”结尾等等的。name属性表示规则名时,当匹配到其中某条规则日志会记录匹配到的规则名,condition表示匹配方式,如"begin with"表示以该值为开头,"image"表示匹配镜像路径,默认为is,精确匹配。

sysmon显示器连接线 微软sysmon安装配置教程

condition的值有以下几种,还是比较好理解的。

sysmon显示器连接线 微软sysmon安装配置教程

https://m.freesion.com/article/49731375088/

  使用微软sysmon监控系统确实可以更好地保护你的计算机,其中一个关键的步骤就是连接sysmon显示器。这篇教程提供了详细的安装和配置说明,希望能够帮助你快速上手。记住,随时监控你的系统是保持安全的关键。

相关教程