SysmonTools

SysmonTools

Windows系统监控与安全分析工具集 提升事件响应效率

SysmonTools是一套Windows系统监控工具集,由Sysmon View、Sysmon Shell和Sysmon Box组成。它可视化Sysmon日志、配置Sysmon、捕获网络流量,支持事件关联分析和地理位置映射。该工具集有助于提高系统监控、事件分析和威胁检测的效率,适用于Windows环境下的安全运维工作。

Sysmon日志可视化配置工具网络捕获事件分析Github开源项目

Sysmon 工具

<sup>寻找商业合作伙伴,请访问 www.cyber-distance.com 获取更多信息</sup>

Sysmon 实用工具

本仓库包含以下内容:

  • Sysmon View: 一个离线 Sysmon 日志可视化工具。
  • Sysmon Shell: 一个 Sysmon 配置实用程序。
  • Sysmon Box: 一个 Sysmon 和网络捕获日志记录实用程序。

内容

  • 发行说明
  • Sysmon View
  • Sysmon Shell
  • Sysmon Box
  • 其他资源
  • 许可证

发行说明

  • Sysmon View: 版本 3.1 可以导入并关联网络跟踪捕获与 Sysmon 网络事件
  • Sysmon Box: 新的命令行实用程序用于捕获 Sysmon 和网络事件 (v1.0)
  • Sysmon Shell: 添加了将配置文件升级到 V9.0 的命令(临时解决方案)

Sysmon View

Sysmon View 通过逻辑分组和关联各种 Sysmon 事件,帮助跟踪和可视化 Sysmon 日志。它使用现有的事件数据,如可执行文件名、会话 GUID、事件创建时间等,然后重新排列这些数据以多种视图方式显示。

Sysmon View

入门

首先,使用内置的 WEVTUtil 将 Sysmon 事件导出为 XML 文件,该文件稍后将被 Sysmon View 导入:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

导出后,运行 Sysmon View 并导入生成的文件"eventlog.xml"(或您选择的名称)。请注意,这可能需要一些时间,具体取决于日志文件的大小(文件只需导入一次,后续运行 Sysmon View 时无需再次导入数据,只需使用文件菜单 文件 -> 加载现有数据 即可再次加载先前导入的数据)。

所有数据都将导入到与 Sysmon View 可执行文件位于同一位置的名为 SysmonViewDBSQLite 数据库文件中。如果需要,可以与他人共享此文件,只需将文件放在与 Sysmon View 相同的位置,然后使用命令 文件 -> 加载现有数据

每次导入新的 XML 文件时,数据库文件都会被删除并重新创建。要保留任何先前导入的数据,请将数据库文件复制到其他位置或简单地重命名它。

数据库也可以直接在您自己的应用程序中使用,数据库包含哈希值、可执行文件、IP 地址、地理映射的摘要,所有这些都通过文件名或会话(可执行文件 GUID)进行逻辑链接。

您可以使用任何 SQLite 管理软件直接查询数据库文件,而无需使用 Sysmon View,例如生成报告或分析数据

Sysmon 视图

进程视图 这个视图简单地帮助关注"运行会话"的摘要,例如,分析师可以从可执行文件名(如 cmd.exe)或事件类型(如网络事件)开始,从那里可以应用进一步的筛选,例如找到来自相同二进制文件但来自不同位置的运行会话。此视图使用进程 GUID 来按会话"运行"筛选事件,选择任何运行会话(从 GUID 列表中)将以简单的数据流视图显示所有其他相关(关联)事件,按事件时间排序。 注意:如果数据是从 Elasticsearch 实例而不是单台机器导入的,则可以按每台机器的可执行文件来安排事件 - 请查看上一节 "实验性 - Sysmon View 和 Elasticsearch")。

Sysmon View

只需双击视图中的任何事件即可访问 Sysmon 事件详细信息,例如,上一个屏幕截图显示了 进程创建 事件(事件 ID 1)的详细信息,该工具还可以根据需要与 VirusTotal 集成,以进行进一步的哈希和 IP 查找(需要 API 密钥注册)。

地图视图: 在事件导入过程中,有一个选项可以对 IP 地址进行地理定位,如果设置了,Sysmon View 将尝试使用 https://ipstack.com/ 服务对网络目标进行地理映射。

Sysmon View

地图视图中,通过使用 网络事件 作为起点,很容易在相关(关联)事件之间导航,同样,该工具能够使用正在运行的进程会话 GUID 来实现这一点。要探索相关事件,请使用会话 GUID 的超链接,一个类似于进程视图的新视图将在新窗口中显示所有相关的会话事件:

Sysmon View

所有事件视图也可用于对所有 Sysmon 收集的事件数据进行 全面搜索,它还有助于查看与其他事件无关的事件,例如"驱动程序已加载"事件类型。除了通过单击 FID 链接 查看事件详细信息外,仍然可以使用进程 GUID 在相关事件之间导航。

Sysmon View

此外,所有事件视图支持事件的透视式(分组)排列,按机器名称、事件类型或 GUID 分组,如下所示

Sysmon View

还可以进行多级分组

Sysmon View

Sysmon Shell

Sysmon Shell 可以通过简单的 GUI 界面帮助编写和应用 Sysmon XML 配置。

Sysmon Shell

Sysmon Shell 还可用于探索 Sysmon 可用的各种配置选项,轻松应用和更新 XML 配置,以及导出 Sysmon 事件日志,简而言之:

  • Sysmon Shell 可以加载 Sysmon XML 配置文件:当前版本支持所有 Sysmon 架构。(该工具不直接从注册表加载任何配置,只从 XML 文件加载)。
  • 它可以导出/保存最终的XML到文件。
  • 它可以通过直接调用Sysmon.exe -c command来应用生成的XML配置文件(在Sysmon安装的同一文件夹中创建临时XML文件),因此,如果使用此功能,Sysmon Shell将需要提升权限(这是从Sysmon进程本身继承的需求),应用配置的输出将显示在预览窗格中(这是Sysmon生成的输出)
  • 可以在保存前在预览窗格中预览XML配置
  • 最后一个标签(标记为"日志导出")可能会方便快速将Sysmon事件日志导出为XML,稍后可以与**"Sysmon View"**一起用于事件分析,导出有三个选项:
    • 仅导出
    • 导出并清除Sysmon事件日志
    • 导出、备份_evtx_文件并清除事件日志
  • 该工具包含从Sysmon Sysinternals主页(https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)获取的所有事件类型的描述
  • Sysmon Shell附带了许多由其他安全专业人士创建的Sysmon配置模板

Sysmon Shell模板

它不会做的事: 警告您包含/排除冲突或尝试验证规则本身,但是,一旦应用配置,预览窗格将显示从应用配置时捕获的Sysmon.exe输出(即Sysmon -c command的输出),从中可以识别错误

Sysmon Box

Sysmon Box是一个小工具,可以帮助构建捕获的Sysmon和网络流量数据库。

Sysmon Box

要运行Sysmon Box,请使用以下命令(需要运行Sysmon和tshark):

SysmonBox -in Wi-Fi

然后该工具将执行以下操作:

  • 开始捕获流量(在后台使用tshark,这就是为什么必须指定捕获接口),完成后,按CTRL + C结束会话
  • Sysmon Box随后将停止流量捕获,将所有捕获的数据包转储到文件,并使用EVT工具导出会话开始和结束时间之间记录的Sysmon日志
  • 构建一个Sysmon View数据库(备份现有)文件,导入来自Sysmon的日志和捕获的流量,您只需从同一文件夹运行Sysmon View或将数据库文件(SysmonViewDB)放在与Sysmon View相同的文件夹中(将数据包捕获保存在同一位置)

其他资源

许可证

版权所有 2018 Nader Shallabi。保留所有权利。

可以在未经Nader Shallabi明确许可的情况下复制和/或分发SYSMON工具。

本软件由Nader Shallabi"按原样"提供,不作任何明示或暗示的保证,包括但不限于对适销性和特定用途适用性的暗示保证。在任何情况下,Nader Shallabi或贡献者均不对任何直接、间接、偶然、特殊、示范性或后果性损害(包括但不限于替代商品或服务的采购;使用、数据或利润的损失;或业务中断)承担责任,无论是基于合同、严格责任还是侵权行为(包括疏忽或其他),即使被告知可能发生此类损害。

软件和文档中包含的观点和结论是作者的观点和结论,不应被解释为代表Nader Shallabi的官方政策,无论是明示还是暗示。

编辑推荐精选

讯飞智文

讯飞智文

一键生成PPT和Word,让学习生活更轻松

讯飞智文是一个利用 AI 技术的项目,能够帮助用户生成 PPT 以及各类文档。无论是商业领域的市场分析报告、年度目标制定,还是学生群体的职业生涯规划、实习避坑指南,亦或是活动策划、旅游攻略等内容,它都能提供支持,帮助用户精准表达,轻松呈现各种信息。

AI办公办公工具AI工具讯飞智文AI在线生成PPTAI撰写助手多语种文档生成AI自动配图热门
讯飞星火

讯飞星火

深度推理能力全新升级,全面对标OpenAI o1

科大讯飞的星火大模型,支持语言理解、知识问答和文本创作等多功能,适用于多种文件和业务场景,提升办公和日常生活的效率。讯飞星火是一个提供丰富智能服务的平台,涵盖科技资讯、图像创作、写作辅助、编程解答、科研文献解读等功能,能为不同需求的用户提供便捷高效的帮助,助力用户轻松获取信息、解决问题,满足多样化使用场景。

热门AI开发模型训练AI工具讯飞星火大模型智能问答内容创作多语种支持智慧生活
Spark-TTS

Spark-TTS

一种基于大语言模型的高效单流解耦语音令牌文本到语音合成模型

Spark-TTS 是一个基于 PyTorch 的开源文本到语音合成项目,由多个知名机构联合参与。该项目提供了高效的 LLM(大语言模型)驱动的语音合成方案,支持语音克隆和语音创建功能,可通过命令行界面(CLI)和 Web UI 两种方式使用。用户可以根据需求调整语音的性别、音高、速度等参数,生成高质量的语音。该项目适用于多种场景,如有声读物制作、智能语音助手开发等。

Trae

Trae

字节跳动发布的AI编程神器IDE

Trae是一种自适应的集成开发环境(IDE),通过自动化和多元协作改变开发流程。利用Trae,团队能够更快速、精确地编写和部署代码,从而提高编程效率和项目交付速度。Trae具备上下文感知和代码自动完成功能,是提升开发效率的理想工具。

AI工具TraeAI IDE协作生产力转型热门
咔片PPT

咔片PPT

AI助力,做PPT更简单!

咔片是一款轻量化在线演示设计工具,借助 AI 技术,实现从内容生成到智能设计的一站式 PPT 制作服务。支持多种文档格式导入生成 PPT,提供海量模板、智能美化、素材替换等功能,适用于销售、教师、学生等各类人群,能高效制作出高品质 PPT,满足不同场景演示需求。

讯飞绘文

讯飞绘文

选题、配图、成文,一站式创作,让内容运营更高效

讯飞绘文,一个AI集成平台,支持写作、选题、配图、排版和发布。高效生成适用于各类媒体的定制内容,加速品牌传播,提升内容营销效果。

热门AI辅助写作AI工具讯飞绘文内容运营AI创作个性化文章多平台分发AI助手
材料星

材料星

专业的AI公文写作平台,公文写作神器

AI 材料星,专业的 AI 公文写作辅助平台,为体制内工作人员提供高效的公文写作解决方案。拥有海量公文文库、9 大核心 AI 功能,支持 30 + 文稿类型生成,助力快速完成领导讲话、工作总结、述职报告等材料,提升办公效率,是体制打工人的得力写作神器。

openai-agents-python

openai-agents-python

OpenAI Agents SDK,助力开发者便捷使用 OpenAI 相关功能。

openai-agents-python 是 OpenAI 推出的一款强大 Python SDK,它为开发者提供了与 OpenAI 模型交互的高效工具,支持工具调用、结果处理、追踪等功能,涵盖多种应用场景,如研究助手、财务研究等,能显著提升开发效率,让开发者更轻松地利用 OpenAI 的技术优势。

Hunyuan3D-2

Hunyuan3D-2

高分辨率纹理 3D 资产生成

Hunyuan3D-2 是腾讯开发的用于 3D 资产生成的强大工具,支持从文本描述、单张图片或多视角图片生成 3D 模型,具备快速形状生成能力,可生成带纹理的高质量 3D 模型,适用于多个领域,为 3D 创作提供了高效解决方案。

3FS

3FS

一个具备存储、管理和客户端操作等多种功能的分布式文件系统相关项目。

3FS 是一个功能强大的分布式文件系统项目,涵盖了存储引擎、元数据管理、客户端工具等多个模块。它支持多种文件操作,如创建文件和目录、设置布局等,同时具备高效的事件循环、节点选择和协程池管理等特性。适用于需要大规模数据存储和管理的场景,能够提高系统的性能和可靠性,是分布式存储领域的优质解决方案。

下拉加载更多