sysmon显示器连接线微软sysmon安装配置教程

更新时间：2023-06-08 16:01:48作者：xiaoliu

　　sysmon显示器连接线，Sysmon显示器连接线是连接计算机和显示器之间的必要配件，而微软Sysmon是一款功能强大的系统监控工具。在安装和配置Sysmon之前需要确保连接线的质量和稳定性。接下来我们将一步步教您如何安装和配置微软Sysmon，以便有效地监控和保护您的计算机系统。

微软sysmon安装配置教程

结果查看

按键Win+X->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational如果需要卸载使用以下命令sysmon.exe -u

安装常见错误

错误1

原因：配置文件与本地安装sysmon版本不一致导致，修改配置文件中sysmon版本为本地安装版本即可解决。

错误2：

原因：本地安装用户没有启动管理员权限，通过win+x 启动windows powershell 管理员安装即可解决日志通过事件查看器查看，因为sysmon的日志是以evtx格式存储的。具体事件路径为应用程序和服务日志-Microsoft-Windows-Sysmon-Operational如下图所示，或者你直接去C盘指定路径查文件也行

如同windows自带的系统日志，安全日志有事件ID一样，sysmon日志也有对应的事件ID，最新版本支持23种事件。
Event ID 1: Process creation             进程创建
Event ID 2: A process changed a file creation time       文件创建时间更改
Event ID 3: Network connection           检测到网络连接
Event ID 4: Sysmon service state changed   系统服务状态改变
Event ID 5: Process terminated           检测到网络连接
Event ID 6: Driver loaded                驱动程序已加载
Event ID 7: Image loaded                 镜像加载
Event ID 8: CreateRemoteThread           已检测到创建远程线程
Event ID 9: RawAccessRead                事件检测进程何时使用\
Event ID 10: ProcessAccess               已访问的进程
Event ID 11: FileCreate                  文件创建
Event ID 12: RegistryEvent (Object create and delete)添加或删除注册表对象
Event ID 13: RegistryEvent (Value Set)   注册表值设置
Event ID 14: RegistryEvent (Key and Value Rename)   注册表对象已重命名
Event ID 15: FileCreateStreamHash        已创建文件流
Event ID 17: PipeEvent (Pipe Created)    管道创建
Event ID 18: PipeEvent (Pipe Connected)  管道已连接
Event ID 19: WmiEvent (WmiEventFilter activity detected)     检测到WmiEventFilter活动
Event ID 20: WmiEvent (WmiEventConsumer activity detected)   检测到WmiEventConsumer活动
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)检测到WmiEventConsumerToFilter活动 
Event ID 22: DNSEvent (DNS query)        DNS查询
Event ID 255: Error                      错误

常用的有事件ID 1，监控进程创建，恶意进程的创建，包括他的父进程，PID，执行命令等等。之前遇到过一起，开启会自动运行powershell，但查了启动项，任务计划，wmi都没发现痕迹，苦苦无解，然后使用sysmon监控进程创建，最终定位是谁拉起了powershell，往上溯源找到是一个伪造成正常程序图标和后缀的link文件，存放在Startup目录下，链接到存放在另一处的vbs脚本。下图即为进程创建监控日志，可以看到几个关键点，创建的进程，命令行，以及父进程。

事件ID3，监控网络连接，当恶意程序外连CC服务器或者矿池等操作的时候，可以监控到是哪个进程发起的连接。这边也举个例子，之前遇到一种病毒，当你去用进程管理器或分析工具去查看时，该病毒会自动退出，防止被检测到，并且随机一段时间重启，但态势感知上发现确实有挖矿行为，使用sysmon监控，当他不定时运行时，即可捕捉到他连接矿池的行为，从而定位到进程。下图为网络连接监控日志，可以看到网络连接的五元组，和对应的进程。

事件ID22，是这次重磅推出的新功能。DNS查询记录，这功能让应急响应人员可以很轻松的通过域名定位到进程，并且你即使开启了dnscache服务，也能定位到原先进程，sysmon原理没有分析过，猜测是监控了一些跟域名解析相关的API，而dnscache是这些API调用后下一步才会用到的，所以先于dnscache监控到原始进程。dnscache是一个缓存服务，简单来讲，就是会代理其他进程进行dns解析，并且会缓存解析结果，下一次解析就不再发送请求，读取缓存内容返回给指定程序即可。所以大家使用内存扫描工具，可能会定位到dnscache服务进程。在监测设备上发现可疑域名解析时，通过这个功能，可以轻松定位到发起解析的进程，从而进一步分析进程文件是否确实有问题。如下图所示，为dns查询日志，会记录解析域名和结果，以及对应的进程PID和路径。

我就举几个常用的事件类型来讲解，其他的事件类型我后续再对应案例具体分析吧，大家可以参考文章最后面freebuf链接以及微软链接，会有比较详细的说明。其实sysmon最大优势就是可以实时监控，往往会遇到这么一个情况。检测设备检测到可疑行为，会有一个时延，而当工程师去查看设备时，又有一个时延，所以经常发现病毒的时候，已经滞后很长时间了，这个时候再去排查，可能病毒不在运行了，杀软又扫描不出来，无从下手，实际上也确实没有比较好的方法，虽然通过各种手段尝试或许能找到，比如查看可疑服务，任务计划，逐条分析排查，但需要消耗的时间会比较大，这个时候其实可以以使用sysmon进行后续监控，当再一次发现的时候进行日志分析处理。一来在没有思路的时候，可以以这个方式来缓冲一下，给自己留点时间思考分析，或者和其他人讨论下有没遇到过，或者思路啥的。二来，确实觉得这个时候没法查下去。或再查下去很费时间，用户可能办公也还要使用主机，但也不能跟用户说查不到没办法，这个时候就可以以此来为这次排查做个收尾闭环，并给出下一步计划，说明这次排查分析没发现病毒运行痕迹，可能处于潜伏，但我们在系统上安装了监控，后续再次发现问题的时候，我们可以提取日志分析定位问题，这样让用户知道当前进度以及困难之处，和下一步的安排。 0x03 配置文件上面说了如何使用以及各类日志和应用场景，并且提到使用推荐的xml文件进行过滤，因为这个xml文件其实是一个推荐模板，可能会需要根据具体场景进行修改，下面就分析下这个xml文件，以及如何修改满足需求。首先说明下有哪些事件过滤器。其中只有ID 4和16无法过滤，其他可以根据ID标签来过滤。

然后我们看下配置文件，这个配置文件基本每行都有做注释，很详细了。每个事件过滤器都写进去了，并提供推荐配置，只需在这基础上修改。先看一下结构。

所有规则都在过滤器<EventFiltering>标签里。然后各类事件单独封装在各个<RuleGroup>里，也就是说根据上面支持的事件过滤器，一共有15个<RuleGroup>，属性groupRelation都设置为or，表明事件标签里同一规则的每个项之间是或的关系。选择以下事件标签来讲解，标签名称为FileCreateTime，表明过滤进程修改文件创建时间事件，属性onmatch为include表示匹配以下标签规则的才记录日志，exclude值，表示不匹配以下标签规则的才记录日志，exclude规则覆盖include规则。事件标签内可以看到多个Image项，各项由于groupRelation设置为or，各项之间是或的关系，看下图存在两个相同的事件标签，但一个是include，一个是exclude，相同事件标签之间是与的关系。按下面规则表示不匹配镜像路径为“OneDrive.exe”或“C:\Windows\system32\backgroundTaskHost.exe”或包含“setup”字符或……的，同时只匹配镜像路径以“C:\Users”开头或以“.exe”结尾等等的。name属性表示规则名时，当匹配到其中某条规则日志会记录匹配到的规则名，condition表示匹配方式，如"begin with"表示以该值为开头，"image"表示匹配镜像路径，默认为is，精确匹配。