Introduction
Dans cette présentation vidéo, nous avons expliqué comment fonctionne sysmon et comment analyser les événements générés pour détecter et répondre aux incidents.
Découvrez comment utiliser Sysmon pour surveiller et enregistrer vos points de terminaison et vos environnements.
Sysmon, un outil utilisé pour surveiller et enregistrer les événements sous Windows, est couramment utilisé par les entreprises dans le cadre de leurs solutions de surveillance et de journalisation. Faisant partie du package Windows Sysinternals, Sysmon est similaire aux journaux d'événements Windows avec plus de détails et un contrôle granulaire.
D'après Microsoft Docs, « System Monitor (Sysmon) est un service système Windows et un pilote de périphérique qui, une fois installés sur un système, restent résidents lors des redémarrages du système pour surveiller et enregistrer l'activité du système dans le journal des événements Windows. Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les modifications apportées à l'heure de création des fichiers. En collectant les événements qu'il génère à l'aide d'agents Windows Event Collection ou SIEM et en les analysant ensuite, vous pouvez identifier les activités malveillantes ou anormales et comprendre comment les intrus et les logiciels malveillants opèrent sur votre réseau.
Sysmon rassemble des journaux détaillés et de haute qualité ainsi qu'un suivi des événements qui aident à identifier les anomalies dans votre environnement. Sysmon est le plus souvent utilisé en conjonction avec un système de gestion des informations et des événements de sécurité (SIEM) ou d'autres solutions d'analyse de journaux qui regroupent, filtrent et visualisent les événements. Lorsqu'il est installé sur un point de terminaison, Sysmon démarre au début du processus de démarrage de Windows. Dans un scénario idéal, les événements seraient transmis à un SIEM pour une analyse plus approfondie. Cependant, dans cette salle, nous nous concentrerons sur Sysmon lui-même et afficherons les événements sur le point de terminaison lui-même avec l'Observateur d'événements Windows.
Obtenez les notes d'examen COMPTIA Security+
Réponses de la salle
Combien d’événements d’ID d’événement 3 se trouvent dans C:\Users\THM-Analyst\Desktop\Scenarios\Practice\Filtering.evtx ?
Quelle est l'heure UTC créée du premier événement réseau dans C:\Users\THM-Analyst\Desktop\Scenarios\Practice\Filtering.evtx ?
Quel est le nom de l'appareil lorsqu'il est appelé par RawAccessRead dans l'enquête 1 ?
Quel est le premier exe exécuté par le processus dans l’enquête 1 ?
Quel est le chemin complet de la charge utile dans Investigation 2 ?
Quel est le chemin complet du fichier que la charge utile s'est masquée comme dans Investigation 2 ?
Quel binaire signé a exécuté la charge utile dans Investigation 2 ?
Quelle est l’IP de l’adversaire dans Investigation 2 ?
Quel port de connexion arrière est utilisé dans Investigation 2 ?
Quelle est l’adresse IP de l’adversaire présumé dans l’enquête 3.1 ?
Quel est le nom d'hôte du point de terminaison concerné dans l'enquête 3.1 ?
Quel est le nom d'hôte du serveur C2 qui se connecte au point de terminaison dans Investigation 3.1 ?
Où dans le registre la charge utile était-elle stockée dans Investigation 3.1 ?
Quel code de lancement PowerShell a été utilisé pour lancer la charge utile dans Investigation 3.1 ?
Quelle est l'adresse IP de l'adversaire dans l'enquête 3.2 ?
Quel est le chemin complet de l’emplacement de la charge utile dans l’enquête 3.2 ?
Quelle a été la commande complète utilisée pour créer la tâche planifiée dans Investigation 3.2 ?
À quel processus schtasks.exe a-t-il accédé et qui serait considéré comme un comportement suspect dans l'enquête 3.2 ?
Quelle est l’IP de l’adversaire dans Investigation 4 ?
Sur quel port l'adversaire opère-t-il dans Investigation 4 ?
Quel C2 l’adversaire utilise-t-il dans l’enquête 4 ?
