您的位置: 首頁(yè) >互聯(lián)網(wǎng) >

Sysmon 5帶來(lái)注冊(cè)表修改日志記錄

2022-07-21 15:14:40 編輯:蕭萍希 來(lái)源:
導(dǎo)讀 Sysmon 5是流行的Windows監(jiān)視程序的最新版本,該程序?qū)⒒顒?dòng)寫入Windows事件日志。Sysmon代表系統(tǒng)監(jiān)視器,是后臺(tái)監(jiān)視器。這意味著安裝...

Sysmon 5是流行的Windows監(jiān)視程序的最新版本,該程序?qū)⒒顒?dòng)寫入Windows事件日志。

Sysmon代表系統(tǒng)監(jiān)視器,是后臺(tái)監(jiān)視器。這意味著安裝后無(wú)需用戶交互或圖形用戶界面即可完成工作。

實(shí)際上,安裝它所要做的就是從命令行運(yùn)行一個(gè)簡(jiǎn)短的命令來(lái)安裝監(jiān)視服務(wù)。

這是通過(guò)以下方法完成的:敲擊Windows鍵,鍵入cmd.exe,在按Enter鍵之前按住Shift鍵和Ctrl鍵,然后在Sysmon程序目錄中鍵入sysmon -accepteula -i。

提示:要再次卸載Sysmon,請(qǐng)?jiān)俅芜\(yùn)行該操作,但這一次使用sysmon -u命令。

該程序直接記錄到Windows事件日志中,這意味著您需要使用本機(jī)查看器或第三方程序(例如“ 事件日志資源管理器”)將其打開(kāi)以訪問(wèn)數(shù)據(jù)。

Sysmon 5跟蹤的所有事件都存儲(chǔ)在事件日志中的應(yīng)用程序和服務(wù)日志/ Microsoft / Windows / Sysmon / Operational中。

sysmon事件查看器

應(yīng)用程序跟蹤以下事件:

事件1:進(jìn)程創(chuàng)建-在該事件ID下列出了系統(tǒng)上創(chuàng)建的任何新進(jìn)程。

事件2:文件創(chuàng)建時(shí)間更改。

事件3:網(wǎng)絡(luò)連接-默認(rèn)情況下處于禁用狀態(tài)。要啟用它,請(qǐng)使用參數(shù)-n運(yùn)行install命令。

事件4:Sysmon服務(wù)狀態(tài)更改。

事件5:進(jìn)程終止。

事件6:驅(qū)動(dòng)程序已加載。

事件7:圖像已加載。默認(rèn)情況下禁用。要啟用它,請(qǐng)使用參數(shù)-l運(yùn)行install命令。

事件8:創(chuàng)建遠(yuǎn)程線程-記錄某個(gè)進(jìn)程在另一個(gè)進(jìn)程中創(chuàng)建線程的時(shí)間。

事件9:原始訪問(wèn)讀取-記錄進(jìn)程何時(shí)使用\\和\從驅(qū)動(dòng)器讀取操作。

事件10:進(jìn)程訪問(wèn)-記錄某個(gè)進(jìn)程打開(kāi)另一個(gè)進(jìn)程的時(shí)間。

事件11:文件創(chuàng)建。

事件12:注冊(cè)表事件(對(duì)象創(chuàng)建和刪除)-記錄進(jìn)程創(chuàng)建或刪除注冊(cè)表對(duì)象的時(shí)間。

事件13:注冊(cè)表事件(值集)-記錄進(jìn)程在注冊(cè)表中設(shè)置值的時(shí)間。

事件14:注冊(cè)表事件(鍵和值重命名)-記錄注冊(cè)表鍵或值重命名的時(shí)間。

事件15:文件創(chuàng)建流哈希-記錄創(chuàng)建文件流的時(shí)間。

事件255:錯(cuò)誤。

支持過(guò)濾,這意味著您可以使用事件過(guò)濾來(lái)過(guò)濾您感興趣的特定事件。

新的Sysmon 5引入了新的監(jiān)視選項(xiàng),用于記錄文件創(chuàng)建和注冊(cè)表修改事件。

Sysmon的主要更新是一個(gè)后臺(tái)監(jiān)視器,該監(jiān)視器將事件記錄到事件日志中以用于安全事件檢測(cè)和取證,它引入了文件創(chuàng)建和注冊(cè)表修改日志記錄。這些事件類型使配置過(guò)濾器成為可能,該過(guò)濾器捕獲對(duì)關(guān)鍵系統(tǒng)配置的更新以及對(duì)惡意軟件使用的自動(dòng)啟動(dòng)入口點(diǎn)的更改。

結(jié)束語(yǔ)

Sysmon 5通過(guò)將注冊(cè)表修改和文件創(chuàng)建事件引入日志記錄功能來(lái)進(jìn)一步改進(jìn)了本已不錯(cuò)的程序。由于沒(méi)有其他更改,因此可以毫無(wú)疑問(wèn)地將程序的現(xiàn)有副本升級(jí)到最新版本,以從其他事件記錄選項(xiàng)中受益。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。