Sysmon 5 обеспечивает ведение журнала изменений реестра

Sysmon 5 — это последняя версия популярной программы мониторинга для Windows, которая записывает действия в журнал событий Windows.

Sysmon, что означает системный монитор, является фоновым монитором. Это означает, что после установки он будет выполнять свою работу без взаимодействия с пользователем или графического пользовательского интерфейса.

Фактически, все, что вам нужно сделать для его установки, — это запустить короткую команду из командной строки, чтобы установить службу мониторинга.

Это делается путем нажатия клавиши Windows, ввода cmd.exe, удерживания клавиш Shift и Ctrl перед нажатием клавиши Enter и ввода sysmon -accepteula –i в каталоге программы Sysmon.

Совет: чтобы снова удалить Sysmon, запустите операцию еще раз, но на этот раз с помощью команды sysmon -u .

Программа регистрирует непосредственно в журнале событий Windows, что означает, что вам нужно открыть его с помощью собственного средства просмотра или сторонней программы, такой как Обозреватель журнала событий для доступа к данным.

Sysmon 5

Все события, которые отслеживает Sysmon 5, хранятся в Журналы приложений и служб / Microsoft / Windows / Sysmon / Operational в журнале событий.

Приложение отслеживает следующие события:

• Событие 1 : Создание процесса — любой новый процесс, созданный в системе, отображается под этим идентификатором события.
• Событие 2 : Время создания файла изменяется.
• Событие 3 : Сетевые подключения — по умолчанию отключены. Чтобы включить его, запустите команду установки с параметром -n .
• Событие 4 : Состояние службы Sysmon изменяется.
• Событие 5 : Процесс прекращен.
• Событие 6 : Драйвер загружен.
• Событие 7 : Изображение загружено. По умолчанию это отключено. Чтобы включить его, запустите команду установки с параметром -l .
• Событие 8 : Create Remote Thread — записывает, когда процесс создает поток в другом процессе.
• Событие 9: Raw Access Read — регистрируется, когда процесс использует операции чтения с диска с использованием \ и \.
• Событие 10 : Доступ к процессу — регистрирует, когда процесс открывает другой процесс.
• Событие 11 : Создать файл.
• Событие 12 : Событие реестра (создание и удаление объектов) — регистрирует, когда процессы создают или удаляют объекты реестра.
• Событие 13 : Событие реестра (набор значений) — регистрируется, когда процессы устанавливают значения в реестре.
• Событие 14 : Событие реестра (переименование ключа и значения) — регистрирует переименование ключей или значений реестра.
• Событие 15 : File Create Stream Hash — записывает, когда создается файловый поток.
• Событие 255 : Ошибка.

Поддерживается фильтрация, что означает, что вы можете использовать фильтрацию событий для фильтрации конкретных событий, которые вас интересуют.

Новый Sysmon 5 вводит новые параметры мониторинга, которые регистрируют события создания файлов и изменений реестра.

В этом крупном обновлении Sysmon, фонового монитора, который записывает активность в журнал событий для использования при обнаружении инцидентов безопасности и криминалистической экспертизе, вводится регистрация создания файлов и изменений реестра. Эти типы событий позволяют настраивать фильтры, которые фиксируют обновления критической конфигурации системы, а также изменения точек входа автозапуска, используемых вредоносным ПО.

Вывод

Sysmon 5 еще больше улучшает и без того отличную программу, добавляя в возможности ведения журнала события модификации реестра и создания файлов. Поскольку больше ничего не изменилось, нетрудно обновить существующую копию программы до последней версии, чтобы воспользоваться дополнительными опциями регистрации событий.