Sysmon Ueberwachung

Sysmon Vorlagen Netzwerk- und Systemereignisse protokollieren

Netzwerk

Sysmon individuell einsetzen

Möchte man mit den Sysmon Netzwerk- und Systemereignisse protokollieren und angepasst einsetzen, um nicht zu viele Events mitschneiden zu müssen, dann empfiehlt es sich mit definierten Konfigurationsvorlagen zu arbeiten. Die Erstellung von Vorlagen setzt ein Maß an Verständnis für XML voraus. Also keine leichte Aufgabe!

Zuerst finden wir die aktuelle Schemaversion heraus, bevor wir überhaupt eine Vorlage erstellen können. Wenn die Syntax nicht stimmt, dann kann die Vorlage später auch nicht eingesetzt werden.

Mit sysmon.exe -s wird uns die aktuelle Version angezeigt.

Sysmon individuell einsetzen

Sysmon Vorlagen Netzwerk- und Systemereignisse protokollieren

Hier habe ich eine Vorlage erstellt, mit der alle System- und Netzwerkaktivitäten aufgezeichnet werden.

System und Netzwerkaktivitäten aufzeichnen

Vorlage für SystemAndNetwork

Unter C:\ habe ich ein Verzeichnis angelegt in der die Sysmon64.exe sowie die Vorlage liegt.

Sysmon64 Template

Damit die Aufzeichnung dauerhaft läuft wird Sysmon mit folgenden Schaltern und einem Verweis auf die Vorlage installiert.

sysmon64.exe -i SystemAndNetwork.xml

Install Sysmon Template

In der Ereignisanzeige sehen wir, das Sysmon mit der definierten Vorlage installiert wurde.

Sysmon Event ID 16

Ändert man die Vorlage ab, indem z.B. gewisser Netzwerkverkehr nicht aufgezeichnet werden soll, wie in diesem Beispiel, dann aktualisiert man die Konfiguration mit folgendem Schalter -c.

Vorlage für SystemAndNetwork exclude

Sysmon exclude network traffic

sysmon64.exe -c SystemAndNetwork.xml

Update Sysmon Template

Parameter:
-i Installiert Sysmon als Service
-c Update der Konfiguration
-c — Reset der Konfiguration
-u Deinstalliert Sysmon
-h Definiert den zu verwendenden Hash-Algorithmus
-n Aktiviert das Logging von Netzwerkverbindungen
-l Logt das Laden von Modulen
-accepteula Akzeptiert die EULA bei der Installation (kein Pop-Up)

Nach der Aktualisierung der Konfiguration kann man diese mit dem Schalter -c abrufen.

Sysmon Konfiguration im Unternehmen verteilen

Sysmon Konfiguration im Unternehmen verteilen

Nachdem Sysmon mit dem Schalter -i und dem Verweis auf die Vorlage installiert wurde, finden wir die Konfiguration in der Registry an dieser Stelle wieder.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonDrv\Parameters

Deploy Sysmon configuration

Damit auf allen Computern die gleiche Konfiguration vorliegt, werden folgende Einträger über die GPP verteilt. Das wären die Einträge

  • HashingAlgorithm
  • Options
  • Rules

Sysmon manuell deinstallieren

Falls es Probleme bei der De-Installation geben sollte, so kann man Sysmon auch manuell entfernen. Dazu löscht man zuerst die beiden Registry-Keys und startet die Maschine neu.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Sysmondrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sysmon

Im Anschluß löscht man diese beiden Dateien unter C:\Windows

Sysmon manuell deinstallieren

https://www.der-windows-papst.de/2019/06/12/sysinternals-sysmon-jetzt-mit-einer-dns-query-protokollierung/