Перейти к содержанию

Другое

ОС Windows. Утилита Sysmon

Об утилите

Sysmon (System Monitor) - утилита, которая позволяет получить более полные сведения о событиях Windows.

Ссылка на ресурс Microsoft для подробного изучения:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#overview-of-sysmon-capabilities

Для запуска утилиты необходимо, чтобы на машине, на которой планируется сбор событий, было расположено два файла: файл-установщик с расширением .bat или .exe и файл конфигурации с расширением .xml. Для удобства работы рекомендуется расположить эти файлы в одной папке.

Актуальную версию утилиты можно скачать с официального ресурса Microsoft:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Настройка источника

  1. Установите и настройте утилиту Sysmon:

  2. Нажмите Пуск+S на клавиатуре

  3. Введите в строке поиска cmd и нажмите Enter

  4. Перейдите в папку, где лежат файл-установщик и файл конфигурации с помощью команды cd <directory>

    Пример: C:\Windows\system32> cd с:\Sysmon

  5. Установите утилиту Sysmon с помощью команды sysmon.exe -i <configfile>

    Пример: C:\Windows>sysmon.exe -i sysmon.xml

  6. После успешной установки в Просмотре событий Windows (Event Viewer) появится новый журнал (Channel) Microsoft-Windows-Sysmon/Operational.

Включение источника на Платформе

Процесс включения источника на Платформе не отличается от включения источника на Платформе для Microsoft Windows

Настройка коллектора событий

Процесс настройки лог-коллектора отличается от настройки коллектора событий для Microsoft Windows только настройкой журналов для сбора событий.

Для отправки событий журнала Sysmon на Платформу необходимо внести изменение в файл конфигурации лог-коллектора. В разделе eventlog_collector необходимо указать в строке channel имена всех журналов, события которых нужно отправить на Платформу, через запятую.

Пример: channel: ['Security','Microsoft-Windows-Sysmon/Operational']