Phenquestions
Microsoft biedt een overvloed aan handige tools voor eindgebruikers die kunnen worden gebruikt om het Windows-besturingssysteem te tweaken, spelen, problemen op te lossen, diagnosticeren, beveiligen of iets anders te doen. Sysinternals Systeemmonitor (Sysmon), is zo'n nieuw uitgebracht hulpmiddel dat is ontworpen voor een Windows-computer die alle systeemlogbestanden verzamelt. Deze logbestanden zijn erg belangrijk en cruciaal om problemen met Windows te begrijpen. Eenmaal geïnstalleerd blijft Sysmon op de achtergrond actief als slapend en kan indien nodig weer tot leven worden gebracht.
Sysmon-systeemmonitor voor Windows
De basisworkflow achter System Monitor is dat het informatie opslaat van Windows Event Collection (Event Viewer) en Security Information and Event Management (SIEM) -agenten zoals proces-ID's, GUID's, SHA1, MD5 (SHA256) hash-logboeken. Het slaat al deze bestanden op onder: Toepassingen en services\logs\Microsoft\Windows\Sysmon\operational map in Windows 10/8/7/Vista, en onder Systeemgebeurtenislogboek in oudere Windows-besturingssystemen zoals Windows XP.
Hoe systeemmonitor te installeren
- Download Sysmon [downloadlink hieronder]
- Het gedownloade bestand is in zip-formaat. Pak het bestand uit met de standaard bestandsextractor van Windows of probeer Winrar, 7zip enz.
- Zodra het bestand is uitgepakt, voert u “Symon” accepteer de EULA en klik op Volgende.
- Wacht tot Systeem, Monitor de installatie voltooit, dat is alles!
Hoe Sysmon te gebruiken
De opdrachtregel in sysmon kan worden gebruikt om de configuratie van System Monitor te installeren, te verwijderen, te controleren en aan te passen:
Installeren: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configureren: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Verwijderen: Sysmon.exe -u
Enkele commando's die de gebruiker moet begrijpen zijn:
-ik: service- en stuurprogrammaprogramma's installeren
-nee: slaat netwerkverbindingslogboeken op
-jij: service- en stuurprogrammaprogramma's verwijderen
-c: het werkt het geïnstalleerde sysmon-stuurprogramma op de computer bij of helpt bij het dumpen van de huidige configuratie-instellingen die beschikbaar zijn
-h: Het specificeert het algoritme dat op het programma wordt toegepast [standaard wordt SHA1 toegepast]
Voorbeelden:
- Om de applicatie met standaardinstellingen te installeren: “sysmon -ik accepteer” zonder aanhalingstekens [SHA1 standaard]
- Om de applicatie te installeren met MD5 [SHA256] instellingen: “sysmon -i accepteula -h md5 -n”
- Om te verwijderen: “sysmon -u”
Systeemmonitor slaat gebeurtenissen zoals gebeurtenis-ID's op als,
- Evenement-ID 1: Gebruikt voor het maken van processen,
- Evenement-ID 2: Een proces heeft de aanmaaktijd van een bestand gewijzigd met een tijdstempel en
- Evenement-ID 3: Voor netwerkverbinding.
De tool blijft op de achtergrond actief en schrijft alle gebeurtenislogboeken in een map. Na installatie of de-installatie is niet alleen een herstart van het systeem vereist.
Het is een onmisbare tool voor alle computers die op Windows draaien. Pak de tool Systeemmonitor van hier!
BIJWERKEN: Windows Sysinternals Sysmon registreert nu ook procesactiviteit in het Windows-gebeurtenislogboek voor gebruik door incidentdetectie en forensische analyse, inclusief laad- en afbeeldingsgebeurtenissen met handtekeninginformatie, configureerbare hashing-algoritmerapportage, flexibele filters voor het opnemen en uitsluiten van gebeurtenissen, en ondersteuning voor configuratie aanleveren via een configuratiebestand in plaats van de opdrachtregel. Het krijgt ook detectie van manipulatie van malwareprocessen.
