Microsoft piedāvā pārpilnu noderīgu rīku gala lietotājiem, kurus var izmantot, lai uzlabotu, atskaņotu, novērstu, diagnosticētu, aizsargātu vai darītu visu ar Windows operētājsistēmu. Sysinternals Sistēmas monitors (Sysmon), ir viens no tik nesen atbrīvotais līdzeklis, kas paredzēts Windows datoram, kurš apkopo visus sistēmas žurnāla failus. Šie log faili ir ļoti svarīgi un izšķiroši, lai izprastu ar Windows saistītos jautājumus. Sysmon pēc tam, kad tas ir uzstādīts, turpina darboties fonā kā palaistošs un to var atjaunot pēc vajadzības.
Sysmon sistēmas monitoru operētājsistēmai Windows
Sistēmas monitora galvenā darba plūsma ir tāda, ka tajā tiek glabāta informācija no Windows notikumu kolekcijas (Event Viewer) un drošības informācijas un notikumu pārvaldības (SIEM) aģentiem, piemēram, procesa ID, GUID, SHA1, MD5 (SHA256) hash žurnāliem. Tajā tiek saglabāti visi šie faili Pieteikumi un pakalpojumi logs Microsoft Windows Sysmon operational mapē Windows Vista un augstākās operētājsistēmas, piemēram, Windows 8 un Windows 7, un zemāk Sistēmas notikumu žurnāls vecākajās Windows operētājsistēmās, piemēram, Windows XP.
- Lejupielādēt Sysmon [lejupielādēt saiti zemāk]
- Lejupielādētais fails būs zip formātā. Atbrīvojiet failu, izmantojot Windows noklusējuma failu nosūcēju vai mēģiniet Winrar, 7zip utt
- Kad fails ir unzip, palaidiet " Sysmon" piekrītu EULA un hit nākamo.
- Pagaidiet sistēmu, pārraudzīsiet, lai pabeigtu instalēšanu, tas ir viss!
Kā lietot Sysmon
Sysmon komandrindu var izmantot, lai instalētu, atinstalētu, pārbaudītu un noregulētu sistēmas monitora konfigurāciju:
Instalējiet: Sysmon.exe -i [-h [sha1 | md5 | sha256] [-n]
Konfigurēt: Sysmon.exe-c[-n] | -]
Atinstalēt: Sysmon.exe -u
Tikai komandas, kas lietotājam ir jāsaprot, ir šādas:
– i: instalējiet pakalpojumu un draivera programmas
- n: saglabā tīkla savienojumu žurnālus
- u: atinstalēt pakalpojumu un vadītāja programmas
- c: tā datorā atjaunina instalēto sysmon draiveri vai palīdz atcelt pieejamos pašreizējos konfigurācijas iestatījumus
- h: Norāda algoritmu, kas tiek piemērots programmai [pēc noklusējuma SHA1 tiek piemērots]
Piemēri:
- Lai instalētu lietojumprogrammu ar noklusējuma iestatījumiem: “sysmon-i acceptteula” bez pēdiņām [SHA1 noklusējuma]
- Lai instalētu lietojumprogrammu ar MD5 [SHA256] iestatījumiem: “sysmon -i acceptteula -h md5 -n”
- Atinstalēt “sysmon -u”
Sistēmas pārraugs glabā notikumus, piemēram, notikumu ID,
- Notikuma ID 1: Izmanto procesa izveidei,
- Notikuma ID 2: Process mainīja faila izveides laiku ar laika zīmogu un
- Notikuma ID 3: Tīkla savienojumam.
Šis rīks turpinās darboties fonā, un visi notikumu žurnāli tiks ierakstīti mapē. Pēc sistēmas pārstartēšanas instalēšanas vai atinstalēšanas vēl nav vajadzīgs.
Tas ir jābūt rīks visiem datoriem, kas darbojas sistēmā Windows. Iet greifers sistēmas monitors rīks no šeit!
ATJAUNINĀT: Microsoft Sysinternals Sysmon tagad arī reģistrē procesa aktivitāti Windows notikumu žurnālam, ko izmanto incidentu atklāšanas un kriminālistikas analīzei, ietver draivera slodzes un attēla slodzes notikumus ar parakstu informāciju, konfigurējamu maiņas algoritmu pārskatu, elastīgus filtrus notikumu iekļaušanai un izslēgšanai un atbalstu piegādājot konfigurāciju, izmantojot konfigurācijas failu, nevis komandrindu.
