追蹤資安事件僅透過系統事件日誌是不夠的,因為並非所有的系統活動或執行指令都會被記錄,由於僅透過系統事件日誌並不足夠,建議使用 Microsoft Sysinternals System Monitor – Sysmon 系統監控工具來追蹤資安事件。
https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon -accepteula -i (設定檔:c:\windows\config.xml)
Sysmon64.exe -accepteula –i
sysmon -u
Sysmon 能詳細記錄 Windows 系統環境中執行的所有程序和系統關鍵活動,包括執行指令、程式和動態連結函式庫的雜湊值等,在執行不會影響系統效能,並且能與其他系統整合。
從 Sysmon v14 版本開始,它還具有偵測惡意軟體行為的能力,例如勒索軟體的特定行為,如下載執行程式和檔案銷毀等,提供更完整的安全解決方案。這樣的監控工具能幫助追蹤事件來源,補充系統事件日誌的不足。