Чому Вам Потрібен Sysmon
Вступ
Якщо ви ще не знайомі з Sysmon for Windows - це безкоштовний інструмент від Microsoft для аудиту подій на системі в доповнення до стандартних Security логів. Він може логувати такі речі як створення процесів і файлів, мережеві з’єднання та DNS запити, зміни в регістрах, та дуже багато іншого.
Навіть якщо у вас немає SIEM чи SOC відділу - якщо/коли в мережу залізуть і пошифрують - то і вам, і тій команді що прийде на допомогу, буде легше зрозуміти що сталось і як. Виділіть годинку часу і розставте Sysmon хоча б на критичні хости: ноутбуки IT адмінів, Exchange чи інші відкриті у світ сервери, та на домен контролери. Це дуже просто!
Встановлення Sysmon
- Завантажити сисмон з офіційного сайту (всього один бінарник!)
- Завантажити конфігурацію для сисмону, я раджу ось цю
- Встановити сисмон від адміністратора:
Sysmon64.exe -accepteula -i sysmon-config.xml
- Збільшити максимальний розмір логів хоча б до 1 GB скриптом або вручну:
- Відкрити Event Viewer, розкрити “Applications and Services Log”
- Перейти в Microsoft -> Windows -> Sysmon -> Operational
- ПКМ по Operational -> Properties -> змінити Maximum log size
- Ніби все, логи вже в Event Viewer, можна дивитись хто що робить на хості
Використання без SIEM
Для SOC команд - є безліч ресурсів по впровадженню моніторингу через Sysmon, зверніться до вендорських правил або перегляньте Sigma Rules. Проте і для IT команди сисмон може стати в пригоді! Наведу декілька прикладів:
| Питання | Відповідь |
|---|---|
| Хто і коли поставив програму TeamViewer на DC-01? | Event Viewer -> Sysmon -> Find… -> “TeamViewer” |
| Що це і звідки взялось C:\Temp\cscleaner.exe? | Event Viewer -> Sysmon -> Find… -> “cscleaner.exe” |
| Що запускали на HR-22 впродовж дня? | Event Viewer -> Sysmon -> Filter… -> EventCode==1 |
Якщо ж об’єм логів завеликий або Event Viewer вам не до вподоби - можна також експортувати логи в CSV утилітою EvtxECmd та переглянути їх в зручнішому редакторі, як от Timeline Explorer, Microsoft Excel, або навіть Google Sheets. Наприклад:
# PowerShell (Administrator)
./EvtxECmd.exe `
-f "C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx" `
--csv "./sysmon-export" `
--csvf "./export.csv" `
--sd "2025-01-15 00:00:00.0000000" `
--ed "2025-01-17 12:30:00.0000000"
Зверніть Увагу
Сисмон не оновлюється автоматично, і оновлювати його без необхідності не варто. Якщо сисмон успішно встановився - поточна конфігурація має стабільно працювати роками. Також, як і з будь-яким іншим драйвером, нова версія теоретично може покласти систему. Сам я ніколи з проблемами не стикався, але краще не встановлювати чи оновлювати сисмон наосліп, без попереднього тестування.
Також, якщо в мережі вже розставлені EDR агенти як от CrowdStrike, MDE, або Elastic Defend - вони вже частково покривають можливості сисмону, і при правильній конфігурації EDR цього буде достатньо. Сисмон, звісно, зайвим не буде, проте зазвичай легше добре налаштувати EDR ніж підтримувати декілька різних інструментів.
У Підсумку
Якщо EDR агентів немає, а сисмон вас не переконав - хоча б збільште максимальний розмір Security логів до 1 GB (з стандартних 20 MB). Це не зупинить ворога, проте, у разі інциденту, дасть вашому ІТ чи команді ззовні швидше усвідомити що сталось і як рухатись далі. З налаштуванням гарно допоможе GPO або цей скрипт.