DNS-Abfragen mit Sysmon protokollieren

DNS-Abfragen protokollieren

Lesedauer 2 Minuten

DNS-Abfragen mitschneiden und auswerten

Sysmon (System Monitor) ist zeitgleich ein Systemdienst und Treiber, der nach der Installation immer aktiv bleibt. Sysmon überwacht alle Systemaktivitäten und schreibt diese ins Windows Ereignisprotokoll.

Neuinstallation von Sysmon mithilfe der Powershell
Set-ExecutionPolicy Bypass -Scope Process -Force
Invoke-Expression ((New-Object System.Net.WebClient).DownloadString(‘https://chocolatey.org/install.ps1’))

choco install sysmon
choco search sysmon 

Sysmon wurde heruntergeladen und ist bereit zur Nutzung.

choco install sysmon

Alternativ kann man Sysmon auch direkt von Microsoft herunterladen.
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Um nun alle DNS-Abfragen in das Ereignisprotokoll schreiben zu können, installieren wir Sysmon mit einer vorkonfigurierten Datei. Auf diese Weise lassen sich auch unbekannte Abfragen oder Schadsoftware aufdecken.

sysmon –accepteula –i dns.xml

sysmon installieren dns abfragen

Sysmon loggt nun alle DNS-Abfragen.

Sysmon loggt nun alle DNS-Abfragen.

Dokument Download:

DNS-Abfragen mitschneiden

Sysmon Download:

Sysmon

Konfigurationsdatei:

DNS Konfigurationsdatei

DNS Anfragen blockieren