sysmon-config, Sysmon配置文件模板,具有默认的高质量事件跟踪

分享于 

3分钟阅读

GitHub

  繁體 雙語
Sysmon configuration file template with default high-quality event tracing
  • 源代码名称:sysmon-config
  • 源代码网址:http://www.github.com/SwiftOnSecurity/sysmon-config
  • sysmon-config源代码文档
  • sysmon-config源代码下载
  • Git URL:
    git://www.github.com/SwiftOnSecurity/sysmon-config.git
    Git Clone代码到本地:
    git clone http://www.github.com/SwiftOnSecurity/sysmon-config
    Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/SwiftOnSecurity/sysmon-config
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
    
    Sysmon配置| 一个Sysmon配置文件,供大家使用

    这是一个 Microsoft Sysmon配置文件模板,带有默认的高质量事件跟踪。

    提供的文件应该作为自包含包中系统变更监视的一个很好的起点。 这个配置和结果应该对Sysmon有什么好的了解。 注意,这并不跟踪诸如身份验证和其他 Windows 事件( 对于事件调查也是至关重要的)。

    sysmonconfig-export.xml

    因为几乎每一行都被注释了,并且部分被标记为注释,所以它也应该作为Sysmon的教程和 Windows 系统中关键监视区域的指南。

    欢迎使用请求和发票票,并且新增的补充将会按行或者在Git中记录。

    see这里配置的forks

    查看 @ion-storm 威胁智能 SIEM fork

    注意:精确的语法和筛选选项被考虑捕获适当的条目,并尽可以能少地影响性能。 内置审计功能不同,sysmon能力的过滤不同于内置的Windows 审计功能,所以通常采用不同的方法,而不是每一个可能的重要。

    使用

    安装

    以管理员权限运行

    
    sysmon.exe -accepteula -i sysmonconfig-export.xml
    
    
    
    

    更新现有配置

    以管理员权限运行

    
    sysmon.exe -c sysmonconfig-export.xml
    
    
    
    

    卸载

    以管理员权限运行

     
    sysmon.exe -u
    
    
    
     

    要求的操作

    先决条件

    强烈建议使用 NotePad++ 编辑这里配置。 它理解UNIX换行格式并进行了XML语法突出显示,这使得这非常容易理解。 我不建议使用内置的Notepad.exe.

    文档级自定义项

    你需要在自己的环境中安装并观察配置的结果,以便进行广泛的部署。 例如,你需要排除防病毒的操作,否则可能会用无用的信息填充你的日志。

    配置被高度注释并设计为自我说明,有助于你在这个定制环境中帮助你。

    设计说明

    这里配置要求软件安装为系统宽,而不是在 C:Users 文件夹中。

    如果用户自己安装 Chrome,则应该部署 Chrome,这将自动将快捷方式更改为机器级别安装。 你的用户甚至不会注意到。


    文件  SYS  TEMP  template  EVE  HIG  
    相关文章