您的位置: 首頁 >互聯(lián)網(wǎng) >

Sysmon 5帶來注冊表修改日志記錄

2022-07-21 15:14:40 編輯:蕭萍希 來源:
導(dǎo)讀 Sysmon 5是流行的Windows監(jiān)視程序的最新版本,該程序?qū)⒒顒訉懭隬indows事件日志。Sysmon代表系統(tǒng)監(jiān)視器,是后臺監(jiān)視器。這意味著安裝...

Sysmon 5是流行的Windows監(jiān)視程序的最新版本,該程序?qū)⒒顒訉懭隬indows事件日志。

Sysmon代表系統(tǒng)監(jiān)視器,是后臺監(jiān)視器。這意味著安裝后無需用戶交互或圖形用戶界面即可完成工作。

實(shí)際上,安裝它所要做的就是從命令行運(yùn)行一個(gè)簡短的命令來安裝監(jiān)視服務(wù)。

這是通過以下方法完成的:敲擊Windows鍵,鍵入cmd.exe,在按Enter鍵之前按住Shift鍵和Ctrl鍵,然后在Sysmon程序目錄中鍵入sysmon -accepteula -i。

提示:要再次卸載Sysmon,請?jiān)俅芜\(yùn)行該操作,但這一次使用sysmon -u命令。

該程序直接記錄到Windows事件日志中,這意味著您需要使用本機(jī)查看器或第三方程序(例如“ 事件日志資源管理器”)將其打開以訪問數(shù)據(jù)。

Sysmon 5跟蹤的所有事件都存儲在事件日志中的應(yīng)用程序和服務(wù)日志/ Microsoft / Windows / Sysmon / Operational中。

sysmon事件查看器

應(yīng)用程序跟蹤以下事件:

事件1:進(jìn)程創(chuàng)建-在該事件ID下列出了系統(tǒng)上創(chuàng)建的任何新進(jìn)程。

事件2:文件創(chuàng)建時(shí)間更改。

事件3:網(wǎng)絡(luò)連接-默認(rèn)情況下處于禁用狀態(tài)。要啟用它,請使用參數(shù)-n運(yùn)行install命令。

事件4:Sysmon服務(wù)狀態(tài)更改。

事件5:進(jìn)程終止。

事件6:驅(qū)動程序已加載。

事件7:圖像已加載。默認(rèn)情況下禁用。要啟用它,請使用參數(shù)-l運(yùn)行install命令。

事件8:創(chuàng)建遠(yuǎn)程線程-記錄某個(gè)進(jìn)程在另一個(gè)進(jìn)程中創(chuàng)建線程的時(shí)間。

事件9:原始訪問讀取-記錄進(jìn)程何時(shí)使用\\和\從驅(qū)動器讀取操作。

事件10:進(jìn)程訪問-記錄某個(gè)進(jìn)程打開另一個(gè)進(jìn)程的時(shí)間。

事件11:文件創(chuàng)建。

事件12:注冊表事件(對象創(chuàng)建和刪除)-記錄進(jìn)程創(chuàng)建或刪除注冊表對象的時(shí)間。

事件13:注冊表事件(值集)-記錄進(jìn)程在注冊表中設(shè)置值的時(shí)間。

事件14:注冊表事件(鍵和值重命名)-記錄注冊表鍵或值重命名的時(shí)間。

事件15:文件創(chuàng)建流哈希-記錄創(chuàng)建文件流的時(shí)間。

事件255:錯(cuò)誤。

支持過濾,這意味著您可以使用事件過濾來過濾您感興趣的特定事件。

新的Sysmon 5引入了新的監(jiān)視選項(xiàng),用于記錄文件創(chuàng)建和注冊表修改事件。

Sysmon的主要更新是一個(gè)后臺監(jiān)視器,該監(jiān)視器將事件記錄到事件日志中以用于安全事件檢測和取證,它引入了文件創(chuàng)建和注冊表修改日志記錄。這些事件類型使配置過濾器成為可能,該過濾器捕獲對關(guān)鍵系統(tǒng)配置的更新以及對惡意軟件使用的自動啟動入口點(diǎn)的更改。

結(jié)束語

Sysmon 5通過將注冊表修改和文件創(chuàng)建事件引入日志記錄功能來進(jìn)一步改進(jìn)了本已不錯(cuò)的程序。由于沒有其他更改,因此可以毫無疑問地將程序的現(xiàn)有副本升級到最新版本,以從其他事件記錄選項(xiàng)中受益。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。