Sysmon 11.0 отсутствует с мониторингом удаления файлов

by Опубликовано

На этой неделе Microsoft выпустила новую версию программы Sysinternals Sysmon (System Monitoring) для устройств Microsoft Windows. Sysmon 11.0 — крупное обновление приложения; пользователи может скачать последнюю версию программы с официального сайта Sysinternals или запустите новую версию инструмента напрямую с помощью Sysinternals Live.

Sysmon — это специализированный инструмент системного монитора для Windows 7 и более поздних версий, который устанавливается как системная служба и драйвер устройства. Приложение отслеживает события в системе, обычно используемые злоумышленниками, например атаками вредоносных программ и записывает их в журнал событий Windows.

Программа отслеживает важные действия, такие как создание процессов и их завершение, сетевые подключения, загрузка драйверов, создание файлов или события реестра, когда они активны.

Sysmon 11.0 добавляет новое событие в список отслеживаемых действий на устройствах Windows. Событие 23, FileDelete, отслеживает все действия по удалению файлов на машине Windows; это дает администраторам возможность видеть все файлы, которые были удалены в системе во время работы Sysmon.

Одна из причин добавления мониторинга удаления файлов возникла из собственного опыта Microsoft. Компания отметила, что злоумышленники, которые успешно проникли на компьютеры компании, бросали инструменты на машину, использовали их и удаляли их, когда они были сделаны. Новый мониторинг удаления файлов предоставляет аналитикам информацию об инструментах, которые злоумышленник использовал в системе. Естественно, что действие по удалению файлов охватывает и другие типы удалений, когда оно используется.

Вот видео Марка Руссиновича, которое предлагает дополнительную информацию об обновлении:

Установка Sysmon проста. Все, что нужно сделать, это загрузить последнюю архивную версию программы и распаковать ее в целевой системе. Вы можете проверить конфигурацию, используя sysmon -s с помощью командной строки и установите службу мониторинга с помощью sysmon -accepteula -i ; здесь используется конфигурация по умолчанию. Чтобы удалить sysmon, запустите sysmon -u из командной строки.

sysmon 11

Опытные пользователи могут использовать файлы конфигурации для настройки мониторинга, например игнорировать определенную активность в системе. Новая версия Sysmon поставляется с флагом для отключения обратного поиска DNS, чтобы избежать перегрузки DNS-серверов запросами от инструмента.

Теперь вы: используете ли вы инструменты Sysinternals?

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *