L’utilitaire sysmon qui fait partie de sysinternals est un driver qui permet de monitorer un système. Cela permet d’avoir une vue détaillée des événements critiques qui se produisent lors d’intrusions dans une machine : création de processus, connexions réseau et changement à la date de création de certains fichiers. L’analyse de ces évements avec le Event Viewer ou votre système SIEM (splunk, elasticsearch, alien vault ou autres) permet de repérer les activités anormales.
Les événements de Sysmon sont enregistrés dans Applications and Services Logs/Microsoft/Windows/Sysmon/Operational
Sysmon requiert un fichier de configuration. Je recommande le téléchargement de celui-ci :
https://github.com/SwiftOnSecurity/sysmon-config
Ce fichier permet d’inclure ou d’exclure certains événements basés sur des conditions. Voici une liste dévénements pouvant être paramétrés
-
Création de processus (event ID 1)
Date de création de fichiers changés pour une date antérieure (event ID 2)
Nouvelle connexion réseau (event ID 3)
Nouveau driver utilisé par le noyau du système d’exploitation (event ID 6)
DLL chargé par un processus (ImageLoad) (event ID 7)
Processus qui injecte du code dans d’autres processus (CreateRemoteThread) (event ID 8)
Accès direct à un volume (RawAccessRead) (event ID 9)
INTER-PROCESS-ACCESS (ProcessAccess) (event ID 10)
Fichiers créés (event ID 11)
Modification du registre (event ID 12,13,14)
Data Streams créé s(voir l’utilitaire streams) (event ID 15)
Changement de configuration de sysmon (event ID 16)
Monitoring des événements WMI (event ID 19,20,21)
Requêtes DNS (event ID 22)
Effacement de fichiers (event ID 23)
Démarrer sysmon (comme administrateur)
Sysmon.exe -accepteula -i sysmonconfig-export.xml
Get-WinEvent -Path
Get-WinEvent -Path C:\users\germa\Downloads\Filtering.evtx -FilterXPath ‘*/System/EventID=3’ -Oldest -MaxEvents 10
Get-WinEvent -Path
