kbook

Project maintained by atilla777 Hosted on GitHub Pages — Theme by mattgraham
Главная страница
Sysmon

Sysmon

Основные команды

Установить sysmon (генерировать не только md5, но и sha256, протоколировать сетевые соединения, переименовать драйвер в prnthp)
sysmon64 -accepteula -i -h md5,sha256 -d prnthp -n

Опции sysmon

Текущие настройки

sysmon64.exe -c

Применить файл конфигурации

sysmon64.exe –c файл.xml

Создание файла конфигурации

Протоколировать все события определенного типа

<Тип onmatch="exclude"/>

Пример (протоколируются все сетевые соединения и создание процессов)

<Sysmon schemaversion="4.22">
	<EventFiltering>
		<NetworkConnect onmatch="exclude"/>
		<ProcessCreate onmatch="exclude">
	</EventFiltering>
</Sysmon>

Все события кроме отфильтрованных (exclude) по условию (condition)

<NetworkConnect onmatch="exclude">
<Image name="network iexplore" condition="contains">
iexplore.exe
</Image>
</NetworkConnect>
> В примере выше параметр **name** перед condition позволяет записать в протоколе событий имя конкретного условия

#### Задания для групп фильтрующих правил логические условия их комбинации - OR или AND (без **RuleGroup** правила комбинируются через **OR**) 
```xml
<EventFiltering>
    <RuleGroup name="group 1" groupRelation="and">
      <ProcessCreate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <CommandLine condition="contains">100</CommandLine>
      </ProcessCreate>
    </RuleGroup>
    <RuleGroup groupRelation="or">
      <ProcessTerminate onmatch="include">
        <Image condition="contains">timeout.exe</Image>
        <Image condition="contains">ping.exe</Image>
      </ProcessTerminate>        
    </RuleGroup>
    <ImageLoad onmatch="include"/>
  </EventFiltering>