Microsoft nudi mnoštvo korisnih alata za krajnje korisnike koji se mogu koristiti za ugađanje, reprodukciju, rješavanje problema, dijagnozu, sigurnost ili bilo što sa operacijskim sustavom Windows. Sysinternals Monitor sustava (Sysmon), je jedan takav nedavno objavljeni alat dizajniran za Windows računalo temeljeno na kojem se prikupljaju sve datoteke dnevnika sustava. Ove log datoteke su vrlo važne i ključne za razumijevanje pitanja koja se odnose na Windows. Sysmon jednom instaliran i dalje radi u pozadini kao uspavan i može se vratiti u život kada je to potrebno.
Sysmon System Monitor za Windows
Osnovni tijek rada programa System Monitor jest pohranjivanje podataka iz zbirki događaja Windows Event (Event Viewer) i Sigurnosnih informacija i Event Management (SIEM) agenata kao što su ID-ovi procesa, GUID-ovi, SHA1, MD5 (SHA256). Pohranjuje sve te datoteke Aplikacije i usluge logs Microsoft Windows Sysmon operativni mapu u sustavu Windows Vista i višim operativnim sustavima kao što su Windows 8 i Windows 7 i ispod Zapisnik događaja sustava u starijim operativnim sustavima Windows kao što je Windows XP.
- Preuzmite Sysmon [vezu za preuzimanje koja se nalazi u nastavku]
- Preuzeta datoteka bit će u zip formatu. Raspakirajte datoteku pomoću prozora zadane datoteke izvlači ili pokušajte Winrar, 7zip itd
- Nakon što se datoteka razbije, pokrenite „Sysmon” prihvatiti EULA i ubiti sljedeći.
- Pričekajte da sustav, Monitor dovrši instalaciju, to je sve!
Kako koristiti Sysmon
Naredba linija u sustavu sysmon može se koristiti za instalaciju, deinstalaciju, provjeru i podešavanje konfiguracije sustava Monitor:
Instalirajte: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Konfiguriraj: Sysmon.exe -c[-n] | -]
Deinstaliranje: Sysmon.exe -u
Neke naredbe koje korisnik treba razumjeti su:
– ja: instalirajte programe servisa i upravljačkih programa
- n: pohranjuje dnevnike mrežnih veza
- u: deinstalirati programe servisa i upravljačkih programa
c: ažuriranje instaliranog sysmon upravljačkog programa na računalo ili pomaže u deponiranju dostupnih trenutačnih konfiguracijskih postavki
- h: Navodi algoritam koji se primjenjuje na program [zadano se primjenjuje SHA1]
Primjeri:
- Da biste instalirali program s zadanim postavkama: “sysmon -i accepteula” bez navodnika [SHA1 default]
- Da biste instalirali program s MD5 [SHA256] postavkama: “sysmon -i accepteula -h md5-n”
- Za deinstaliranje “sysmon -u”
Sustav Monitor pohranjuje događaje poput ID-ova događaja kao,
- ID događaja 1: Koristi se za izradu procesa,
- ID događaja 2: Proces je promijenio vrijeme stvaranja datoteke s vremenskom oznakom i
- ID događaja 3: Za mrežnu vezu.
Alat će se nastaviti prikazivati u pozadini i napisat će sve zapise događaja u mapu. Nakon instalacije ili deinstalacije sustav ponovno podizanje sustava nije sve potrebno.
Mora imati alat za sva računala koja se pokreću na sustavu Windows. Otvorite alat za nadzor sustava ovdje!
AŽURIRANJE: Microsoft Sysinternals Sysmon sada također bilježi procesnu aktivnost u zapisnik događaja sustava Windows za upotrebu pomoću detekcije incidenta i forenzičke analize, uključuje učitavanje vozača i učitavanje slika s podacima o potpisima, konfigurabilno algoritam izvješćivanja, fleksibilne filtre za uključivanje i isključivanje događaja i podršku za dobavu konfiguracije preko konfiguracijske datoteke umjesto naredbenog retka.