Einführung
In dieser Videoanleitung haben wir erläutert, wie Sysmon funktioniert und wie generierte Ereignisse analysiert werden, um Vorfälle zu erkennen und darauf zu reagieren.
Erfahren Sie, wie Sie Sysmon zum Überwachen und Protokollieren Ihrer Endpunkte und Umgebungen nutzen.
Sysmon, ein Tool zum Überwachen und Protokollieren von Ereignissen unter Windows, wird häufig von Unternehmen als Teil ihrer Überwachungs- und Protokollierungslösungen verwendet. Sysmon ist Teil des Windows Sysinternals-Pakets und ähnelt den Windows-Ereignisprotokollen, bietet jedoch mehr Details und eine genauere Kontrolle.
In den Microsoft-Dokumenten heißt es: „System Monitor (Sysmon) ist ein Windows-Systemdienst und Gerätetreiber, der nach der Installation auf einem System auch nach Systemneustarts resident bleibt, um die Systemaktivität zu überwachen und im Windows-Ereignisprotokoll zu protokollieren. Es bietet detaillierte Informationen über Prozesserstellungen, Netzwerkverbindungen und Änderungen der Dateierstellungszeit. Indem Sie die von ihm generierten Ereignisse mithilfe von Windows Event Collection oder SIEM-Agenten sammeln und anschließend analysieren, können Sie bösartige oder anomale Aktivitäten identifizieren und verstehen, wie Eindringlinge und Malware in Ihrem Netzwerk agieren.“
Sysmon sammelt detaillierte und qualitativ hochwertige Protokolle sowie Ereignisverfolgungen, die bei der Identifizierung von Anomalien in Ihrer Umgebung helfen. Sysmon wird am häufigsten in Verbindung mit einem SIEM-System (Security Information and Event Management) oder anderen Protokollanalyselösungen verwendet, die Ereignisse aggregieren, filtern und visualisieren. Wenn Sysmon auf einem Endpunkt installiert ist, wird es früh im Windows-Startvorgang gestartet. Im Idealfall werden die Ereignisse zur weiteren Analyse an ein SIEM weitergeleitet. In diesem Raum konzentrieren wir uns jedoch auf Sysmon selbst und betrachten die Ereignisse auf dem Endpunkt selbst mit der Windows-Ereignisanzeige.
Holen Sie sich Prüfungsunterlagen für COMPTIA Security+
Raumantworten
Wie viele Ereignisse mit der Ereignis-ID 3 befinden sich in C:\Users\THM-Analyst\Desktop\Scenarios\Practice\Filtering.evtx?
Was ist die UTC-Zeit, die für das erste Netzwerk-Ereignis in C:\Users\THM-Analyst\Desktop\Scenarios\Practice\Filtering.evtx erstellt wurde?
Wie lautet der Gerätename, wenn er in Untersuchung 1 von RawAccessRead aufgerufen wird?
Welche EXE-Datei wird vom Prozess in Untersuchung 1 als erstes ausgeführt?
Wie lautet der vollständige Pfad der Nutzlast in Untersuchung 2?
Wie lautet der vollständige Pfad der Datei, als die sich die Nutzlast in Untersuchung 2 maskiert hat?
Welche signierte Binärdatei hat die Nutzlast in Untersuchung 2 ausgeführt?
Was ist die IP des Gegners in Untersuchung 2?
Welcher Backconnect-Port wird in Untersuchung 2 verwendet?
Was ist die IP des mutmaßlichen Gegners in Untersuchung 3.1?
Wie lautet der Hostname des betroffenen Endpunkts in Untersuchung 3.1?
Wie lautet der Hostname des C2-Servers, der in Untersuchung 3.1 eine Verbindung zum Endpunkt herstellt?
Wo in der Registrierung wurde die Nutzlast in Investigation 3.1 gespeichert?
Welcher PowerShell-Startcode wurde zum Starten der Nutzlast in Investigation 3.1 verwendet?
Was ist die IP des Gegners in Untersuchung 3.2?
Wie lautet der vollständige Pfad des Nutzlaststandorts in Untersuchung 3.2?
Welcher vollständige Befehl wurde zum Erstellen der geplanten Aufgabe in Investigation 3.2 verwendet?
Auf welchen Prozess hat schtasks.exe zugegriffen, der in Untersuchung 3.2 als verdächtiges Verhalten betrachtet würde?
Was ist die IP des Gegners in Untersuchung 4?
Von welchem Hafen aus operiert der Gegner in Untersuchung 4?
Welches C2 verwendet der Gegner in Untersuchung 4?
