Sysmon 5帶來注冊表修改日志記錄

Sysmon 5是流行的Windows監(jiān)視程序的最新版本，該程序?qū)⒒顒訉懭隬indows事件日志。

Sysmon代表系統(tǒng)監(jiān)視器，是后臺監(jiān)視器。這意味著安裝后無需用戶交互或圖形用戶界面即可完成工作。

實際上，安裝它所要做的就是從命令行運行一個簡短的命令來安裝監(jiān)視服務。

這是通過以下方法完成的：敲擊Windows鍵，鍵入cmd.exe，在按Enter鍵之前按住Shift鍵和Ctrl鍵，然后在Sysmon程序目錄中鍵入sysmon -accepteula -i。

提示：要再次卸載Sysmon，請再次運行該操作，但這一次使用sysmon -u命令。

該程序直接記錄到Windows事件日志中，這意味著您需要使用本機查看器或第三方程序(例如“ 事件日志資源管理器”)將其打開以訪問數(shù)據(jù)。

Sysmon 5跟蹤的所有事件都存儲在事件日志中的應用程序和服務日志/ Microsoft / Windows / Sysmon / Operational中。

sysmon事件查看器

應用程序跟蹤以下事件：

事件1：進程創(chuàng)建-在該事件ID下列出了系統(tǒng)上創(chuàng)建的任何新進程。

事件2：文件創(chuàng)建時間更改。

事件3：網(wǎng)絡連接-默認情況下處于禁用狀態(tài)。要啟用它，請使用參數(shù)-n運行install命令。

事件4：Sysmon服務狀態(tài)更改。

事件5：進程終止。

事件6：驅(qū)動程序已加載。

事件7：圖像已加載。默認情況下禁用。要啟用它，請使用參數(shù)-l運行install命令。

事件8：創(chuàng)建遠程線程-記錄某個進程在另一個進程中創(chuàng)建線程的時間。

事件9：原始訪問讀取-記錄進程何時使用\\和\從驅(qū)動器讀取操作。

事件10：進程訪問-記錄某個進程打開另一個進程的時間。

事件11：文件創(chuàng)建。

事件12：注冊表事件(對象創(chuàng)建和刪除)-記錄進程創(chuàng)建或刪除注冊表對象的時間。

事件13：注冊表事件(值集)-記錄進程在注冊表中設置值的時間。

事件14：注冊表事件(鍵和值重命名)-記錄注冊表鍵或值重命名的時間。

事件15：文件創(chuàng)建流哈希-記錄創(chuàng)建文件流的時間。

事件255：錯誤。

支持過濾，這意味著您可以使用事件過濾來過濾您感興趣的特定事件。

新的Sysmon 5引入了新的監(jiān)視選項，用于記錄文件創(chuàng)建和注冊表修改事件。

Sysmon的主要更新是一個后臺監(jiān)視器，該監(jiān)視器將事件記錄到事件日志中以用于安全事件檢測和取證，它引入了文件創(chuàng)建和注冊表修改日志記錄。這些事件類型使配置過濾器成為可能，該過濾器捕獲對關鍵系統(tǒng)配置的更新以及對惡意軟件使用的自動啟動入口點的更改。

結束語

Sysmon 5通過將注冊表修改和文件創(chuàng)建事件引入日志記錄功能來進一步改進了本已不錯的程序。由于沒有其他更改，因此可以毫無疑問地將程序的現(xiàn)有副本升級到最新版本，以從其他事件記錄選項中受益。