Skip to main content

Sysmon

Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.

Что такое Sysmon

System Monitor (Sysmon) — это инструмент мониторинга системы для Windows от Microsoft, входящий в пакет Sysinternals Suite. Представляет собой системную службу и драйвер устройства Windows, которые после установки постоянно работают в системе, в том числе после перезагрузки.

Типы событий, создаваемые Sysmon: https://learn.microsoft.com/ru-ru/sysinternals/downloads/sysmon#event-id-1-process-creation

Sysmon предоставляет подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файлов. За счет сбора событий Sysmon средствами сбора событий Windows (Windows Event Collection) или SIEM-системами и последующего их анализа,  можно выявлять вредоносную или аномальную активность и понять, как злоумышленники и вредоносное ПО действуют в вашей сети. Служба работает как защищенный процесс, что блокирует широкий спектр взаимодействий из пользовательского режима.

Sysmon не анализирует генерируемые им события и не пытается скрыть свое присутствие от злоумышленников.

Принцип работы

 

Установка и настройка Sysmon

На отдельной рабочей станции/сервере

  • Выполните загрузку Sysmon.exe с официального сайта Sysinternals.
Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile C:\Users\Downloads\Sysmon.zip
  • Распакуйте архив штатными средствами проводника или с помощью PowerShell-команды:


 


На группе рабочих станций/серверов средствами GPO


 


Рекомендации для сервера WEC
Официальная справка


 


https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

    
        

    


            

        

    


    


    

    

        

             Back to top