Windows Sysmon Analyzer Pro

Sysmon Analyzer Pro

Security

„Angriffe hinterlassen Spuren. Wir finden sie.”

Sysmon Analyzer Pro ist eine Enterprise-Lösung für die umfassende Analyse von Microsoft Sysmon Event-Logs. Die Software ermöglicht IT-Sicherheitsteams die Echtzeitüberwachung von Endpoints, die Erkennung verdächtiger Aktivitäten und die forensische Analyse von Sicherheitsvorfällen.

Die Anwendung vereint Event-Analyse, Live-Monitoring, Sysmon-Installation und -Verwaltung, Multi-Server-Überwachung sowie automatisierte Berichterstellung in einer einheitlichen WPF-Oberfläche. Alle sicherheitsrelevanten Daten werden lokal verarbeitet – es findet keine Übertragung an Cloud-Dienste statt.

Zielgruppe und Einsatzszenarien

Sysmon Analyzer Pro richtet sich an Organisationen und Fachleute, die ihre Windows-Infrastruktur proaktiv schützen möchten. Die Software ist für den Einsatz in regulierten Umgebungen konzipiert und erfüllt die Anforderungen an Dokumentation und Nachvollziehbarkeit.

Security Operations Center (SOC)

  • Echtzeit-Monitoring über mehrere Server mit aggregierten Statistiken
  • Sofortige Alarmierung bei verdächtigen Aktivitäten per Sound und E-Mail
  • Korrelation von Events zu Angriffsketten und Prozess-Timelines
  • Live-Monitoring mit konfigurierbarem Auto-Scroll und Pause-Funktion

IT-Sicherheitsbeauftragte

  • Compliance-Reports für Audits und Zertifizierungen (PDF, HTML, CSV)
  • Nachweis aktiver Überwachung mit Zeitstempeln und Statistiken
  • Zeitgesteuerte automatische Berichterstellung und E-Mail-Versand

Incident Response Teams

  • Forensische Analyse von Sicherheitsvorfällen mit Detail-Ansichten
  • Timeline-Rekonstruktion von Angriffen über Prozess-Ketten
  • Korrelations-Dialoge zur Identifikation von Lateral Movement

System-Administratoren

  • Integrierte Sysmon-Installation und -Konfiguration (kein separates Tool nötig)
  • Verwaltung der Event-Log-Grösse über die grafische Oberfläche
  • Automatisierte tägliche/wöchentliche Reports via Windows Task Scheduler
  • Überwachung kritischer Server mit Erkennung unautorisierter Änderungen

Hauptmerkmale

  • 29+ Sysmon Event-Typen vollständig unterstützt mit kategorisierter Darstellung (Prozesse, Netzwerk, DNS, Dateisystem, Registry, WMI)
  • Multi-Server Monitoring — parallele Echtzeitüberwachung beliebig vieler Windows-Server via WinRM/WMI mit Server-Kacheln, Sparklines und aggregierten Statistiken
  • Live-Monitoring — Echtzeit-Event-Feed lokal (EventLogWatcher) und remote (Polling), mit Auto-Scroll, Sound-Alerts und Live-Diagrammen
  • Threat Detection — automatische Verdachtserkennung nach MITRE ATT&CK (LOLBAS, Credential Dumping, Ransomware-Indikatoren, DGA-Erkennung, C2-Ports, Encoded PowerShell)
  • Event-Korrelation — Prozess-Ketten, Timelines und automatische Angriffsmuster-Erkennung (schnelle Netzwerk-Aktivität, verdächtige Prozessketten, LSASS-Zugriff)
  • Dashboard — interaktive Übersicht mit Statistik-Karten, Pie-Charts, Severity-Verteilung, Top-Prozesse/-IPs/-DNS
  • Reporting — PDF (MigraDoc/PDFsharp), HTML (A4-druckoptimiert) und CSV-Export, Einzel-Event-Export per Kontextmenü
  • Automatisierung — Silent Mode (CLI), zeitgesteuerte Reports, E-Mail-Versand via SMTP, Windows Task Scheduler-Integration
  • Sysmon-Verwaltung — integrierte Installation/Deinstallation/Konfiguration inkl. Build 26000+ Bereinigung
  • Sicherheit — AES-256 verschlüsselte Credentials, RSA-2048 Lizenzschutz, Regex-Timeouts gegen DoS, Whitelist/Blacklist-Regelwerk

Lizenzierung Unternehmen

Gute Software muss nicht teuer sein.

Einmalig 249,00 € (inkl. 19% MwSt.)

  • Standortlizenz ohne Benutzerbegrenzung
  • Keine Folgekosten, keine Abonnements
  • Kostenlose Updates innerhalb der Hauptversion

Lizenzierung Privat

Einmalig 49,00 € (inkl. 19% MwSt.)

  • Keine Folgekosten, keine Abonnements
  • Kostenlose Updates innerhalb der Hauptversion
  • Unterstützt Sysmon und das integrierte Sysmon unter Windows

Windows Sysmon Analyzer Pro

Oberfläche und Navigation

Die Benutzeroberfläche von Sysmon Analyzer Pro ist in mehrere Bereiche gegliedert, die eine effiziente Analyse ermöglichen.

Windows Sysmon Analyzer Pro

Event-Details (rechts)

Bei Auswahl eines Events in einer beliebigen Ansicht (auch im Live-Monitoring) zeigt das rechte Panel die vollständigen Event-Details:

  • Basis-Info: Record-ID, Zeitstempel, Event-ID, Typ, Computer, Benutzer (SID)
  • Event-Daten: Alle Sysmon-spezifischen Felder (variiert je Event-Typ)
  • Severity-Badge: Farbcodiert (Critical=rot, High=orange, Medium=gelb, Low=grau)

Sysmon Analyzer Pro

Kontextmenü (Rechtsklick auf ein Event)

In den Tabs Alle Events, Prozesse, Netzwerk und DNS steht ein Kontextmenü per Rechtsklick zur Verfügung. Dieses bietet folgende Funktionen: Event-Details als PDF exportieren, Event-Details als HTML exportieren, Event-Details per E-Mail senden (erfordert konfigurierte E-Mail-Einstellungen), sowie Raw-XML in die Zwischenablage kopieren. Ein Doppelklick auf ein Event öffnet den Detail-Dialog mit allen Event-Daten in vier Tabs (Übersicht, EventData, CallTrace/Hashes und Raw XML).

Event-Datenbank

Alle über den Button „Laden“ abgerufenen Events werden automatisch in einer lokalen SQLite-Datenbank gespeichert. Die Datenbank ermöglicht serverübergreifende Abfragen, historische Analysen und persistente Speicherung unabhängig vom flüchtigen Event-Log. Die Deduplizierung erfolgt über ComputerName, RecordId und TimeCreated – doppeltes Laden erzeugt keine Duplikate.

Event-Datenbank

Timeline

Der Timeline-Tab visualisiert die in der Datenbank gespeicherten Events als chronologisches Balkendiagramm mit farbcodierter Severity-Verteilung. Die Auflösung ist wählbar zwischen stündlich und täglich. Wie der Datenbank-Tab zeigt die Timeline nur Events an, die zuvor über „Laden“ abgerufen und in die SQLite-Datenbank geschrieben wurden.

Timeline

Live-Monitoring

Das Live-Monitoring ermöglicht die Echtzeitüberwachung von Sysmon-Events auf dem lokalen System und auf Remote-Servern. Wählen Sie in der Kopfzeile den gewünschten Server aus und klicken Sie auf „Starten“. Lokale Systeme werden per EventLogWatcher in Echtzeit überwacht, Remote-Server per Polling alle 3 Sekunden mit automatischem Retry und exponentiellem Backoff bei Verbindungsfehlern. Der Statustext zeigt den verbundenen Server und den Modus an.

Sysmon Live Monitoring

Event-Korrelation

Die Event-Korrelation verbindet isolierte Ereignisse zu aussagekräftigen Angriffsketten und ermöglicht die Erkennung komplexer Bedrohungen, die in einzelnen Events nicht sichtbar sind.

Prozess-Ketten

Über den Korrelations-Dialog (Toolbar-Icon ‘Clipboard’) können Sie für jedes ausgewählte Event die Prozess-Hierarchie analysieren:

  • Ancestors: Alle übergeordneten Prozesse bis zum Root-Prozess
  • Descendants: Alle gestarteten Child-Prozesse
  • Fokus-Event: Hervorhebung des analysierten Events in der Kette

Prozess-Timeline

Die chronologische Darstellung aller Aktivitäten eines Prozesses umfasst:

  • Prozess-Start und -Ende mit berechneter Lebensdauer
  • Netzwerk-Verbindungen mit Ziel-IP, Port und Protokoll
  • DNS-Queries mit aufgelösten Domains und Ergebnis
  • Datei-Operationen mit vollständigen Pfaden
  • Registry-Änderungen mit Schlüssel und Wert

Automatische Korrelationstypen

Korrelationstyp Erkennungsmuster
Schnelle Netzwerk-Aktivität Prozess stellt Netzwerkverbindung < 10 Sekunden nach Start her
Verdächtige Prozess-Kette Shell startet Recon-Tools (whoami, net, ipconfig, systeminfo)
LSASS-Zugriff Credential Dumping durch nicht-autorisierte Prozesse
DNS + Netzwerk Verdächtige Domain-Auflösung mit anschliessender Verbindung
Verdächtige Dateien Scripts in Temp/Public-Ordnern mit anschliessender Ausführung

Sysmon Multi-Server Monitoring

Die Multi-Server-Funktion ermöglicht die gleichzeitige Überwachung beliebig vieler Windows-Server in einer einheitlichen Oberfläche. Dies ist ideal für Unternehmen mit verteilter Infrastruktur.

Sysmon Multi-Server Monitoring

Server-Kacheln

Jeder Server wird als interaktive Kachel dargestellt:

  • Status-LED: Online (grün), Warning (orange), Error (rot), Offline (grau)
  • Echtzeit-Metriken: Events/Minute, Gesamt-Events, Alert-Zähler
  • Mini-Sparkline: Visueller Trend der letzten 20 Datenpunkte
  • Severity-Balken: Verteilung Critical/High/Medium/Low
  • Letzter Alert: Zeitstempel und Beschreibung des letzten verdächtigen Events

Globale Funktionen

  • Alle starten/stoppen: Gleichzeitige Steuerung aller konfigurierten Server
  • Globale Statistiken: Aggregierte Events/Minute und Alerts über alle Server
  • Alert-Banner: Sofortige Benachrichtigung bei Verdacht auf einem beliebigen Server

Filterung und Regelwerk

Seitenleisten-Filter

Die Filter-Seitenleiste bietet folgende Möglichkeiten:

  • Schnellsuche: Freitext-Suche über alle Event-Felder (Prozessname, Pfad, IP, etc.)
  • Nur verdächtige: Checkbox zur sofortigen Einschränkung auf verdächtige Events
  • Kategorie: Auswahl einer bestimmten Event-Kategorie
  • Event-Typ: Auswahl eines spezifischen Event-Typs, gruppiert nach Kategorie
  • Datumsbereich: Von/Bis-Filter mit DatePicker-Steuerelementen

Klicken Sie auf ‘Filter anwenden’, um die Filter auf die geladenen Events anzuwenden, oder ‘Zurücksetzen’, um alle Filter zu löschen.

Whitelist/Blacklist-Regeln

Über den Trichter-Icon in der Toolbar erreichen Sie die Filterregeln-Verwaltung:

Whitelist (Ausschliessen)

Whitelist-Regeln blenden bekannte, unkritische Aktivitäten aus und reduzieren False Positives:

  • Bekannte Windows-Systemprozesse: svchost.exe, csrss.exe, smss.exe
  • Eigene Unternehmens-Software
  • Muster-Typ: Regex, Wildcard oder exakter Pfad

Blacklist (Hervorheben)

Blacklist-Regeln markieren spezifische Aktivitäten als verdächtig:

  • Eigene Erkennungsregeln basierend auf bekannten IOCs
  • Muster für unerwünschte Software
  • Import/Export von Regelsets im JSON-Format

Whitelist Blacklist-Regeln

Verdächtige Muster (Einstellungen)

In den Einstellungen unter ‘Verdächtige Muster’ können Sie die Regex-basierten Erkennungsregeln anpassen:

  • Verdächtige Prozess-Muster: Regex-Ausdrücke für verdächtige Commandlines und Prozessnamen
  • Verdächtige Netzwerk-Ziele: Regex-Ausdrücke für verdächtige IP-Adressen und Hostnamen

Die Muster werden sowohl beim Laden als auch im Live-Monitoring angewendet.

Verdächtige Muster

E-Mail-Versand

Reports können direkt aus der Anwendung per E-Mail versendet werden:

  • Manueller Versand: Report sofort per E-Mail senden (Button ‘Senden’ im Header)
  • SMTP-Konfiguration: Server, Port, SSL/TLS, Authentifizierung
  • Empfänger: Mehrere E-Mail-Adressen möglich

Sysmon E-Mail-Versand

Zeitgesteuerte Reports

Über den Zeitplan-Dialog (Kalender-Icon) können automatische Report-Aufgaben erstellt werden:

  • Intervalle: Stündlich, täglich, wöchentlich, monatlich
  • Alert-Modus: Nur bei Überschreitung eines Verdacht-Schwellwerts
  • Ausführung: Integration mit Windows Task Scheduler
  • Ausführung als SYSTEM oder als angemeldeter Benutzer

Zeitgesteuerte Reports

Die zeitgesteuerten Reports laufen auch als Dienst.

Sysmon Zeitgesteuerte Reports

Hilfe und Support

Integriertes Hilfesystem

Das Hilfesystem (Fragezeichen-Icon in der Toolbar) bietet 28 Hilfethemen in einer Baumstruktur mit Echtzeit-Suchfunktion. Die Hilfe ist kontextsensitiv und öffnet automatisch das zum aktuellen Tab passende Thema.

Integriertes Hilfesystem

Sysmon Analyzer Pro – „Jedes Event zählt. Jede Bedrohung sichtbar.”

Teil der ISW-Tools Suite von IT-Service Walter

© 2026 IT-Service Walter | Alle Rechte vorbehalten