Sysmon 5 bringer ændring i Registreringsdatabasen logning

0
274

Sysmon 5 er den nyeste version af det populære overvågning program til Windows, der skriver aktiviteter til Windows Event log.

Sysmon, som står for System Monitor, er en baggrund skærm. Det betyder, at det vil gøre sit arbejde, når det er installeret uden brugerens interaktion eller grafiske brugergrænseflade.

I virkeligheden, er alt du skal gøre for at installere det, er at køre en kort kommando fra kommandolinjen for at installere overvågning.

Dette gøres ved at trykke på Windows-tasten for, at skrive cmd.exe, at holde Shift-tast og Ctrl-tasten nede, før der trykkes på Enter-tasten, og skrive sysmon -accepteula –jeg i Sysmon program-mappen.

Tip: hvis du vil afinstallere Sysmon igen, skal du køre drift igen, men denne gang med kommandoen sysmon -u.

Programmet logger direkte til Windows Event log, som betyder, at du skal åbne den ved hjælp af de indfødte viewer eller et tredje-parts program som Event Log Explorer til at få adgang til data.

Sysmon 5

sysmon 5

Alle begivenheder, der Sysmon 5 numre, der er gemt i Logfiler for Programmer og Tjenester/Microsoft/Windows/Sysmon/Operationelle i loggen.

sysmon event viewer

Følgende begivenheder er sporet af ansøgning:

  • Event 1: Proces skabelse — enhver ny proces, der er oprettet på systemet, der er anført under denne hændelses-ID.
  • Tilfælde 2: oprettelse af Filer tiden ændrer sig.
  • Event 3: netværksforbindelser — som standard deaktiveret. For at aktivere det, skal du køre install-kommandoen med de parameter -n.
  • Event 4: Sysmon service ændrer tilstand.
  • Event 5: Proces afsluttes.
  • Event 6: loadet.
  • Event 7: Billede indlæst. Dette er som standard deaktiveret. For at aktivere det, skal du køre install kommando med parameteren -l.
  • Event 8: Skabe Fjernbetjeningen Tråd — registrerer, når en proces, der skaber en rød tråd i en anden proces.
  • Event 9: “Rå” Adgang Læst — registrerer, når en proces, der bruger læse-operationer fra drevet ved hjælp af og .
  • Event 10: Processen Adgang — registrerer, når en proces, der åbner en anden proces.
  • Event 11: File Skabe.
  • Event 12: Registry Begivenhed (Objekt, Oprette og Slette) — Logfiler, når processer, oprette eller slette objekter i Registreringsdatabasen.
  • Event 13: Registry Event (Værdi, der er Indstillet) — Logfiler, når processerne værdier i Registreringsdatabasen.
  • Event 14: Registry Begivenhed (Nøgle og Værdi omdøb) — Logs, når registreringsdatabasenøgler eller værdier, der er omdøbt.
  • Event 15: File Skabe Stream Hash — registrerer, når en fil stream er oprettet.
  • Begivenhed 255: Fejl.

Filtrering er understøttede, hvilket betyder, at du kan bruge Event-Filtrering til filter for specifikke begivenheder, du er interesseret i.

Den nye Sysmon 5 introducerer nye overvågningsmuligheder, at log-filen opret og ændring i Registreringsdatabasen begivenheder.

Denne store opdatering til Sysmon, en baggrund skærm, der registrerer aktivitet til event log til brug i security incident registrering og retsvidenskab, introducerer fil oprette og ændring i registreringsdatabasen skovhugst. Disse event-typer, der gør det muligt at konfigurere filtre, der fanger opdateringer til kritisk system-konfiguration samt ændringer til autostart adgangspunkter, der bruges af malware.

Afsluttende Ord

Sysmon 5 forbedrer en allerede fantastisk program, yderligere ved at indføre ændring i Registreringsdatabasen og filer oprette begivenheder til logning. Da intet andet har ændret sig, det er en no brainer at opgradere den eksisterende kopi af programmet til den nyeste version for at drage fordel af den ekstra event-logføring.