概要
vistaにedrを構築する。
時系列で取得なsysmonを入れた。
環境
windows vista 32bit
写真
インストール
sysmon -i
電卓を起動、停止してみた。
Sysmon Event ID
| Category | ID |
|---|---|
| プロセスの作成 (Process Create) | 1 |
| 作成日時の変更 (File creation time changed) | 2 |
| ネットワーク接続の検出 (Network Connection Detected) | 3 |
| Sysmonサービス状態の変更 (Sysmon service state changed) | 4 |
| プロセスの停止 (Process terminated) | 5 |
| ドライバの読み込み (Driver loaded) | 6 |
| イメージの読み込み (Image loaded) | 7 |
| スレッドイベントの作成 (CreatRemoteThread) | 8 |
| Disk/Volume Read イベント (RawAccessRead*) | 9 |
MicrosoftはSysmon 11をリリースし、ユーザーが削除されたデータをバックアップするのを支援します。
マイクロソフトはSysmon 11をリリースしました。
これにより、ユーザーは監視対象デバイスで削除されたファイルを監視し、自動的にアーカイブできます。
参考までに、Sysmonは、システムの悪意のあるアクティビティを監視し、それらのイベントをWindowsイベントログに記録するように設計されたsysinternalsツールです。
これは可能ですが、ユーザーは違反後にネットワークで発生した悪意のあるアクティビティを削除したり、インシデントレスポンスやデジタルフォレンジックを実行したりして、攻撃がどのように行われたかを知ることができます。
Sysmon 11リリースでは、sysmonはファイルの削除を監視でき、削除されたファイルを自動的にアーカイブできます。
このツールは、デジタルフォレンジックまたはセキュリティ違反の軽減を実行する際のインシデント対応にも役立ちます。
ネットワークが侵害されると、攻撃者はさまざまなツールを使用してネットワーク全体に横方向に広がります。
アクセス権を取得すると、貴重なデータを収集し、ランサムウェアなどのマルウェアを配備します。
そのような場合、これらの言及されたツールは攻撃者によって自動的に削除されるため、インシデントレスポンダーと研究者は弱点を分析したり、ネットワークへの侵入方法を知ることができません。
Sysmonの新しいファイル削除監視およびアーカイブ機能が追加されたことにより、攻撃者が使用するツールやマルウェア実行可能ファイルへのアクセスが、インシデントレスポンダーにとってはるかに容易になります。
これらのファイルは、より良い防御を作成するために、研究者が攻撃者の戦術、技術、手順についてさらに学ぶのに役立ちます。
Sysmon 11は、Sysinternalのsysmonページまたはhttps://live.sysinternals.com/sysmon.exeからダウンロードできます。
ダウンロード後、適切に実行するには管理者権限が必要なため、管理者特権のコマンドプロンプトから実行する必要があります。
デフォルトでは、Sysmon 11はプロセスの作成やファイル時間の変更などの基本情報を監視できます。
ただし、他の多くのイベントをログに記録するように構成できます。
この機能を使用するには、Sysmon構成ファイルに新しいArchiveDirectoryおよびFileDeletion構成オプションを追加する必要があります。
次のコマンドを使用して構成ファイルをロードできます。
sysmon -i sysmon.xml
/ DeletedFilesは、基本構成ファイルによって有効化されたすべての削除済みファイルのファイル削除の監視とアーカイブを確認できるフォルダーの名前です。
このフォルダには、削除されたファイルのコピーも保存されます。
FIleDeletionオプションにはonmatch = “exclude”オプションを使用します。
この構成でSysmonを開始すると、イベントビューアのアプリケーションとサービスログ/ Microsoft / Windows / Sysmon / Operationalへのファイル削除イベントのロギングが開始されます。
ファイルがC; /ドライブから削除されると、Sha1-hash.extensionという名前のC:/ DeletedFilesにアーカイブされます。
たとえば、上記のファイルはC:\ DeletedFiles \ C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F.exeとしてアーカイブされました。
このディレクトリはシステムACLで保護されており、それにアクセスするには、ユーザーはpsexec.exeプログラムをダウンロードし、次のコマンドを使用してcmdプロンプトを起動する必要があります。
psexec -sid cmd
ダウンロード後、削除されたファイルへのアクセスが簡単になります。
上記の例は、システムモニターが実行できることを示すためのサンプルにすぎません。
このツールの詳細については、Sysinternailsのサイトにあるドキュメントを参照してください。
以上。