L’utilitaire sysmon qui fait partie de sysinternals est un driver qui permet de monitorer un syst\u00e8me. Cela permet d’avoir une vue d\u00e9taill\u00e9e des \u00e9v\u00e9nements critiques qui se produisent lors d’intrusions dans une machine : cr\u00e9ation de processus, connexions r\u00e9seau et changement \u00e0 la date de cr\u00e9ation de certains fichiers. L’analyse de ces \u00e9vements avec le Event Viewer ou votre syst\u00e8me SIEM (splunk, elasticsearch, alien vault ou autres) permet de rep\u00e9rer les activit\u00e9s anormales.<\/p>\n
Les \u00e9v\u00e9nements de Sysmon sont enregistr\u00e9s dans Applications and Services Logs\/Microsoft\/Windows\/Sysmon\/Operational<\/em><\/p>\n Sysmon requiert un fichier de configuration. Je recommande le t\u00e9l\u00e9chargement de celui-ci : Ce fichier permet d’inclure ou d’exclure certains \u00e9v\u00e9nements bas\u00e9s sur des conditions. Voici une liste d\u00e9v\u00e9nements pouvant \u00eatre param\u00e9tr\u00e9s<\/p>\n D\u00e9marrer sysmon (comme administrateur) Get-WinEvent -Path L’utilitaire sysmon qui fait partie de sysinternals est un driver qui permet de monitorer un syst\u00e8me. Cela permet d’avoir une vue d\u00e9taill\u00e9e des \u00e9v\u00e9nements critiques qui se produisent lors d’intrusions dans une machine : cr\u00e9ation de processus, connexions r\u00e9seau et changement \u00e0 la date de cr\u00e9ation de certains fichiers. L’analyse de ces \u00e9vements avec le Event Viewer ou votre syst\u00e8me SIEM (splunk, elasticsearch, alien vault ou autres) permet de rep\u00e9rer les activit\u00e9s anormales. Les \u00e9v\u00e9nements de Sysmon sont enregistr\u00e9s dans Applications and Services Logs\/Microsoft\/Windows\/Sysmon\/Operational Sysmon requiert un fichier de configuration. Je recommande le t\u00e9l\u00e9chargement de celui-ci : https:\/\/github.com\/SwiftOnSecurity\/sysmon-config Ce fichier <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33,17],"tags":[],"yoast_head":"\n
\nhttps:\/\/github.com\/SwiftOnSecurity\/sysmon-config<\/p>\n\nCr\u00e9ation de processus (event ID 1)
\nDate de cr\u00e9ation de fichiers chang\u00e9s pour une date ant\u00e9rieure (event ID 2)
\nNouvelle connexion r\u00e9seau (event ID 3)
\nNouveau driver utilis\u00e9 par le noyau du syst\u00e8me d’exploitation (event ID 6)
\nDLL charg\u00e9 par un processus (ImageLoad) (event ID 7)
\nProcessus qui injecte du code dans d’autres processus (CreateRemoteThread) (event ID 8)
\nAcc\u00e8s direct \u00e0 un volume (RawAccessRead) (event ID 9)
\nINTER-PROCESS-ACCESS (ProcessAccess) (event ID 10)
\nFichiers cr\u00e9\u00e9s (event ID 11)
\nModification du registre (event ID 12,13,14)
\nData Streams cr\u00e9\u00e9 s(voir l’utilitaire streams) (event ID 15)
\nChangement de configuration de sysmon (event ID 16)
\nMonitoring des \u00e9v\u00e9nements WMI (event ID 19,20,21)
\nRequ\u00eates DNS (event ID 22)
\nEffacement de fichiers (event ID 23)\n<\/ul>\n
\nSysmon.exe -accepteula -i sysmonconfig-export.xml<\/code><\/p>\n
\nGet-WinEvent -Path C:\\users\\germa\\Downloads\\Filtering.evtx -FilterXPath ‘*\/System\/EventID=3’ -Oldest -MaxEvents 10
\nGet-WinEvent -Path