iT邦幫忙

2023 iThome 鐵人賽

DAY 6
1
Security

故事從撿到一顆硬碟開始系列 第 6

[Day06]System Monitor

  • 分享至 

  • xImage
  •  

追蹤資安事件僅透過系統事件日誌是不夠的,因為並非所有的系統活動或執行指令都會被記錄,由於僅透過系統事件日誌並不足夠,建議使用 Microsoft Sysinternals System Monitor – Sysmon 系統監控工具來追蹤資安事件。

微軟載點:

https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

安裝步驟:

sysmon -accepteula -i (設定檔:c:\windows\config.xml)
Sysmon64.exe -accepteula –i

移除步驟:

sysmon -u

Sysmon 能詳細記錄 Windows 系統環境中執行的所有程序和系統關鍵活動,包括執行指令、程式和動態連結函式庫的雜湊值等,在執行不會影響系統效能,並且能與其他系統整合。

https://ithelp.ithome.com.tw/upload/images/20230920/20103647bevSl9vF0t.png

從 Sysmon v14 版本開始,它還具有偵測惡意軟體行為的能力,例如勒索軟體的特定行為,如下載執行程式和檔案銷毀等,提供更完整的安全解決方案。這樣的監控工具能幫助追蹤事件來源,補充系統事件日誌的不足。


上一篇
[Day05] 常用事件
下一篇
[Day07] 自售自銷
系列文
故事從撿到一顆硬碟開始30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言