Η Microsoft ανακοίνωσε σήμερα ότι θα ενσωματώσει το Sysmon εγγενώς στα Windows 11 και στον Windows Server 2025 τον επόμενο χρόνο, καθιστώντας περιττή την ανάπτυξη των αυτόνομων εργαλείων Sysinternals.
«Τον επόμενο έτος, οι ενημερώσεις των Windows για τα Windows 11 και τον Windows Server 2025 θα φέρουν τη λειτουργικότητα του Sysmon εγγενώς στα Windows», αναφέρει μια ανακοίνωση από τον δημιουργό των Sysinternals, Mark Russinovich.
“Η λειτουργικότητα Sysmon σάς επιτρέπει να χρησιμοποιείτε αρχεία προσαρμοσμένων παραμέτρων για να φιλτράρετε συμβάντα που έχουν καταγραφεί. Αυτά τα συμβάντα εγγράφονται στο αρχείο καταγραφής συμβάντων των Windows. επιτρέποντας ένα ευρύ φάσμα περιπτώσεων χρήσης, συμπεριλαμβανομένων των εφαρμογών ασφαλείας.”
Το Sysmon (ή το System Monitor) είναι ένα δωρεάν εργαλείο Microsoft Sysinternals που μπορεί να ρυθμιστεί ώστε να παρακολουθεί και να αποκλείει κακόβουλη/ύποπτη δραστηριότητα και να καταγράφει συμβάντα στο αρχείο καταγραφής συμβάντων των Windows.
Από προεπιλογή, το Sysmon παρακολουθεί βασικά συμβάντα, όπως η δημιουργία και ο τερματισμός της διαδικασίας. Ωστόσο, είναι δυνατό να δημιουργήσετε αρχεία σύνθετων ρυθμίσεων που σας επιτρέπουν να παρακολουθείτε και να εκτελείτε πιο προηγμένη συμπεριφορά, όπως παρακολούθηση παραβίασης της διαδικασίας, ερωτήματα DNS, δημιουργία εκτελέσιμου αρχείου, αλλαγές στο πρόχειρο των Windows και αυτόματη δημιουργία αντιγράφων ασφαλείας διαγραμμένων αρχείων.
Το Sysmon είναι ένα πολύ δημοφιλές εργαλείο για την αναζήτηση απειλών και τη διάγνωση επίμονων προβλημάτων στα Windows, αλλά κανονικά πρέπει να εγκατασταθεί μεμονωμένα σε συσκευές, καθιστώντας δυσκολότερη τη διαχείριση και τη μείωση της κάλυψης σε μεγάλα περιβάλλοντα πληροφορικής.
Με το Sysmon να υποστηρίζεται πλέον εγγενώς στα Windows, οι χρήστες και οι διαχειριστές μπορούν να το εγκαταστήσουν μέσω του διαλόγου ρυθμίσεων “Προαιρετικές δυνατότητες” των Windows 11 και να λαμβάνουν νέες ενημερώσεις λογισμικού απευθείας μέσω του Windows Update, κάνοντας την ανάπτυξη και τη διαχείριση πολύ πιο εύκολη.
Η Microsoft λέει ότι οι ενσωματωμένες δυνατότητες θα διατηρήσουν το τυπικό σύνολο χαρακτηριστικών του Sysmon, συμπεριλαμβανομένης της υποστήριξης για αρχεία προσαρμοσμένων ρυθμίσεων και του προηγμένου φιλτραρίσματος συμβάντων.
Αφού εγκατασταθεί, οι διαχειριστές μπορούν να το ενεργοποιήσουν μέσω της γραμμής εντολών χρησιμοποιώντας την ακόλουθη εντολή για βασική παρακολούθηση:
sysmon -iΓια πιο προηγμένη παρακολούθηση χρησιμοποιώντας ένα προσαρμοσμένο αρχείο διαμόρφωσης, οι χρήστες μπορούν να το αναπτύξουν χρησιμοποιώντας την ακόλουθη εντολή:
sysmon -i Για παράδειγμα, εάν θέλετε να συνδεθείτε όταν δημιουργούνται νέα εκτελέσιμα αρχεία στους φακέλους C:\ProgramData\ και C:\Users\, μπορείτε να χρησιμοποιήσετε το ακόλουθο αρχείο διαμόρφωσης:
MD5,SHA256
C:\ProgramData\
C:\Users\
Τώρα, όταν δημιουργείται ένα νέο εκτελέσιμο αρχείο σε έναν από αυτούς τους καταλόγους, τα Windows το καταγράφουν στα αρχεία καταγραφής συμβάντων, όπως φαίνεται παρακάτω.
Πηγή: BleepingComputer
Άλλα δημοφιλή συμβάντα που καταγράφονται από το Sysmon περιλαμβάνουν:
- Αναγνωριστικό συμβάντος 1 – Δημιουργία διαδικασίας: Χρήσιμο για τον εντοπισμό ύποπτης δραστηριότητας στη γραμμή εντολών.
- Αναγνωριστικό συμβάντος 3 – Σύνδεση δικτύου: Καταγράφει τις εξερχόμενες συνδέσεις για εντοπισμό ανωμαλιών ή δραστηριότητα C2.
- Αναγνωριστικό συμβάντος 8 – Πρόσβαση σε διαδικασία: Μπορεί να αποκαλύψει τις προσπάθειες πρόσβασης στο LSASS για απόρριψη διαπιστευτηρίων.
- Αναγνωριστικό συμβάντος 11 – Δημιουργία αρχείου: Παρακολουθεί τη δημιουργία αρχείων σεναρίου που χρησιμοποιείται συχνά στη σταδιοποίηση κακόβουλου λογισμικού.
- Αναγνωριστικό συμβάντος 25 – Παραβίαση διαδικασίας: Βοηθά στον εντοπισμό κοίλωσης διεργασιών και άλλων τεχνικών αποφυγής.
- Αναγνωριστικά συμβάντος 20 και 21 – Γεγονότα WMI: Καταγράφει τη συνεχή δραστηριότητα μέσω των καταναλωτών και των φίλτρων WMI.
Η Microsoft επιβεβαίωσε επίσης ότι θα κυκλοφορήσει επιτέλους ολοκληρωμένη τεκμηρίωση σχετικά με τη χρήση του Sysmon το επόμενο έτος, καθώς και νέες δυνατότητες διαχείρισης επιχειρήσεων και δυνατότητες ανίχνευσης απειλών με τεχνητή νοημοσύνη.
Προς το παρόν, εάν θέλετε να δοκιμάσετε ή να αναπτύξετε το Sysmon στο περιβάλλον σας, μπορείτε να το κάνετε χρησιμοποιώντας το μεμονωμένο εργαλείο στο τον ιστότοπο Sysinternals και με αναθεώρηση Παράδειγμα διαμόρφωσης Sysmon του SwiftOnSecurity.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
