SysmonTools

SysmonTools

Windows系统监控与安全分析工具集 提升事件响应效率

SysmonTools是一套Windows系统监控工具集,由Sysmon View、Sysmon Shell和Sysmon Box组成。它可视化Sysmon日志、配置Sysmon、捕获网络流量,支持事件关联分析和地理位置映射。该工具集有助于提高系统监控、事件分析和威胁检测的效率,适用于Windows环境下的安全运维工作。

Sysmon日志可视化配置工具网络捕获事件分析Github开源项目

Sysmon 工具

<sup>寻找商业合作伙伴,请访问 www.cyber-distance.com 获取更多信息</sup>

Sysmon 实用工具

本仓库包含以下内容:

  • Sysmon View: 一个离线 Sysmon 日志可视化工具。
  • Sysmon Shell: 一个 Sysmon 配置实用程序。
  • Sysmon Box: 一个 Sysmon 和网络捕获日志记录实用程序。

内容

  • 发行说明
  • Sysmon View
  • Sysmon Shell
  • Sysmon Box
  • 其他资源
  • 许可证

发行说明

  • Sysmon View: 版本 3.1 可以导入并关联网络跟踪捕获与 Sysmon 网络事件
  • Sysmon Box: 新的命令行实用程序用于捕获 Sysmon 和网络事件 (v1.0)
  • Sysmon Shell: 添加了将配置文件升级到 V9.0 的命令(临时解决方案)

Sysmon View

Sysmon View 通过逻辑分组和关联各种 Sysmon 事件,帮助跟踪和可视化 Sysmon 日志。它使用现有的事件数据,如可执行文件名、会话 GUID、事件创建时间等,然后重新排列这些数据以多种视图方式显示。

Sysmon View

入门

首先,使用内置的 WEVTUtil 将 Sysmon 事件导出为 XML 文件,该文件稍后将被 Sysmon View 导入:

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

导出后,运行 Sysmon View 并导入生成的文件"eventlog.xml"(或您选择的名称)。请注意,这可能需要一些时间,具体取决于日志文件的大小(文件只需导入一次,后续运行 Sysmon View 时无需再次导入数据,只需使用文件菜单 文件 -> 加载现有数据 即可再次加载先前导入的数据)。

所有数据都将导入到与 Sysmon View 可执行文件位于同一位置的名为 SysmonViewDBSQLite 数据库文件中。如果需要,可以与他人共享此文件,只需将文件放在与 Sysmon View 相同的位置,然后使用命令 文件 -> 加载现有数据

每次导入新的 XML 文件时,数据库文件都会被删除并重新创建。要保留任何先前导入的数据,请将数据库文件复制到其他位置或简单地重命名它。

数据库也可以直接在您自己的应用程序中使用,数据库包含哈希值、可执行文件、IP 地址、地理映射的摘要,所有这些都通过文件名或会话(可执行文件 GUID)进行逻辑链接。

您可以使用任何 SQLite 管理软件直接查询数据库文件,而无需使用 Sysmon View,例如生成报告或分析数据

Sysmon 视图

进程视图 这个视图简单地帮助关注"运行会话"的摘要,例如,分析师可以从可执行文件名(如 cmd.exe)或事件类型(如网络事件)开始,从那里可以应用进一步的筛选,例如找到来自相同二进制文件但来自不同位置的运行会话。此视图使用进程 GUID 来按会话"运行"筛选事件,选择任何运行会话(从 GUID 列表中)将以简单的数据流视图显示所有其他相关(关联)事件,按事件时间排序。 注意:如果数据是从 Elasticsearch 实例而不是单台机器导入的,则可以按每台机器的可执行文件来安排事件 - 请查看上一节 "实验性 - Sysmon View 和 Elasticsearch")。

Sysmon View

只需双击视图中的任何事件即可访问 Sysmon 事件详细信息,例如,上一个屏幕截图显示了 进程创建 事件(事件 ID 1)的详细信息,该工具还可以根据需要与 VirusTotal 集成,以进行进一步的哈希和 IP 查找(需要 API 密钥注册)。

地图视图: 在事件导入过程中,有一个选项可以对 IP 地址进行地理定位,如果设置了,Sysmon View 将尝试使用 https://ipstack.com/ 服务对网络目标进行地理映射。

Sysmon View

地图视图中,通过使用 网络事件 作为起点,很容易在相关(关联)事件之间导航,同样,该工具能够使用正在运行的进程会话 GUID 来实现这一点。要探索相关事件,请使用会话 GUID 的超链接,一个类似于进程视图的新视图将在新窗口中显示所有相关的会话事件:

Sysmon View

所有事件视图也可用于对所有 Sysmon 收集的事件数据进行 全面搜索,它还有助于查看与其他事件无关的事件,例如"驱动程序已加载"事件类型。除了通过单击 FID 链接 查看事件详细信息外,仍然可以使用进程 GUID 在相关事件之间导航。

Sysmon View

此外,所有事件视图支持事件的透视式(分组)排列,按机器名称、事件类型或 GUID 分组,如下所示

Sysmon View

还可以进行多级分组

Sysmon View

Sysmon Shell

Sysmon Shell 可以通过简单的 GUI 界面帮助编写和应用 Sysmon XML 配置。

Sysmon Shell

Sysmon Shell 还可用于探索 Sysmon 可用的各种配置选项,轻松应用和更新 XML 配置,以及导出 Sysmon 事件日志,简而言之:

  • Sysmon Shell 可以加载 Sysmon XML 配置文件:当前版本支持所有 Sysmon 架构。(该工具不直接从注册表加载任何配置,只从 XML 文件加载)。
  • 它可以导出/保存最终的XML到文件。
  • 它可以通过直接调用Sysmon.exe -c command来应用生成的XML配置文件(在Sysmon安装的同一文件夹中创建临时XML文件),因此,如果使用此功能,Sysmon Shell将需要提升权限(这是从Sysmon进程本身继承的需求),应用配置的输出将显示在预览窗格中(这是Sysmon生成的输出)
  • 可以在保存前在预览窗格中预览XML配置
  • 最后一个标签(标记为"日志导出")可能会方便快速将Sysmon事件日志导出为XML,稍后可以与**"Sysmon View"**一起用于事件分析,导出有三个选项:
    • 仅导出
    • 导出并清除Sysmon事件日志
    • 导出、备份_evtx_文件并清除事件日志
  • 该工具包含从Sysmon Sysinternals主页(https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon)获取的所有事件类型的描述
  • Sysmon Shell附带了许多由其他安全专业人士创建的Sysmon配置模板

Sysmon Shell模板

它不会做的事: 警告您包含/排除冲突或尝试验证规则本身,但是,一旦应用配置,预览窗格将显示从应用配置时捕获的Sysmon.exe输出(即Sysmon -c command的输出),从中可以识别错误

Sysmon Box

Sysmon Box是一个小工具,可以帮助构建捕获的Sysmon和网络流量数据库。

Sysmon Box

要运行Sysmon Box,请使用以下命令(需要运行Sysmon和tshark):

SysmonBox -in Wi-Fi

然后该工具将执行以下操作:

  • 开始捕获流量(在后台使用tshark,这就是为什么必须指定捕获接口),完成后,按CTRL + C结束会话
  • Sysmon Box随后将停止流量捕获,将所有捕获的数据包转储到文件,并使用EVT工具导出会话开始和结束时间之间记录的Sysmon日志
  • 构建一个Sysmon View数据库(备份现有)文件,导入来自Sysmon的日志和捕获的流量,您只需从同一文件夹运行Sysmon View或将数据库文件(SysmonViewDB)放在与Sysmon View相同的文件夹中(将数据包捕获保存在同一位置)

其他资源

许可证

版权所有 2018 Nader Shallabi。保留所有权利。

可以在未经Nader Shallabi明确许可的情况下复制和/或分发SYSMON工具。

本软件由Nader Shallabi"按原样"提供,不作任何明示或暗示的保证,包括但不限于对适销性和特定用途适用性的暗示保证。在任何情况下,Nader Shallabi或贡献者均不对任何直接、间接、偶然、特殊、示范性或后果性损害(包括但不限于替代商品或服务的采购;使用、数据或利润的损失;或业务中断)承担责任,无论是基于合同、严格责任还是侵权行为(包括疏忽或其他),即使被告知可能发生此类损害。

软件和文档中包含的观点和结论是作者的观点和结论,不应被解释为代表Nader Shallabi的官方政策,无论是明示还是暗示。

编辑推荐精选

openai-agents-python

openai-agents-python

OpenAI Agents SDK,助力开发者便捷使用 OpenAI 相关功能。

openai-agents-python 是 OpenAI 推出的一款强大 Python SDK,它为开发者提供了与 OpenAI 模型交互的高效工具,支持工具调用、结果处理、追踪等功能,涵盖多种应用场景,如研究助手、财务研究等,能显著提升开发效率,让开发者更轻松地利用 OpenAI 的技术优势。

Hunyuan3D-2

Hunyuan3D-2

高分辨率纹理 3D 资产生成

Hunyuan3D-2 是腾讯开发的用于 3D 资产生成的强大工具,支持从文本描述、单张图片或多视角图片生成 3D 模型,具备快速形状生成能力,可生成带纹理的高质量 3D 模型,适用于多个领域,为 3D 创作提供了高效解决方案。

3FS

3FS

一个具备存储、管理和客户端操作等多种功能的分布式文件系统相关项目。

3FS 是一个功能强大的分布式文件系统项目,涵盖了存储引擎、元数据管理、客户端工具等多个模块。它支持多种文件操作,如创建文件和目录、设置布局等,同时具备高效的事件循环、节点选择和协程池管理等特性。适用于需要大规模数据存储和管理的场景,能够提高系统的性能和可靠性,是分布式存储领域的优质解决方案。

TRELLIS

TRELLIS

用于可扩展和多功能 3D 生成的结构化 3D 潜在表示

TRELLIS 是一个专注于 3D 生成的项目,它利用结构化 3D 潜在表示技术,实现了可扩展且多功能的 3D 生成。项目提供了多种 3D 生成的方法和工具,包括文本到 3D、图像到 3D 等,并且支持多种输出格式,如 3D 高斯、辐射场和网格等。通过 TRELLIS,用户可以根据文本描述或图像输入快速生成高质量的 3D 资产,适用于游戏开发、动画制作、虚拟现实等多个领域。

ai-agents-for-beginners

ai-agents-for-beginners

10 节课教你开启构建 AI 代理所需的一切知识

AI Agents for Beginners 是一个专为初学者打造的课程项目,提供 10 节课程,涵盖构建 AI 代理的必备知识,支持多种语言,包含规划设计、工具使用、多代理等丰富内容,助您快速入门 AI 代理领域。

AEE

AEE

AI Excel全自动制表工具

AEE 在线 AI 全自动 Excel 编辑器,提供智能录入、自动公式、数据整理、图表生成等功能,高效处理 Excel 任务,提升办公效率。支持自动高亮数据、批量计算、不规则数据录入,适用于企业、教育、金融等多场景。

UI-TARS-desktop

UI-TARS-desktop

基于 UI-TARS 视觉语言模型的桌面应用,可通过自然语言控制计算机进行多模态操作。

UI-TARS-desktop 是一款功能强大的桌面应用,基于 UI-TARS(视觉语言模型)构建。它具备自然语言控制、截图与视觉识别、精确的鼠标键盘控制等功能,支持跨平台使用(Windows/MacOS),能提供实时反馈和状态显示,且数据完全本地处理,保障隐私安全。该应用集成了多种大语言模型和搜索方式,还可进行文件系统操作。适用于需要智能交互和自动化任务的场景,如信息检索、文件管理等。其提供了详细的文档,包括快速启动、部署、贡献指南和 SDK 使用说明等,方便开发者使用和扩展。

Wan2.1

Wan2.1

开源且先进的大规模视频生成模型项目

Wan2.1 是一个开源且先进的大规模视频生成模型项目,支持文本到图像、文本到视频、图像到视频等多种生成任务。它具备丰富的配置选项,可调整分辨率、扩散步数等参数,还能对提示词进行增强。使用了多种先进技术和工具,在视频和图像生成领域具有广泛应用前景,适合研究人员和开发者使用。

爱图表

爱图表

全流程 AI 驱动的数据可视化工具,助力用户轻松创作高颜值图表

爱图表(aitubiao.com)就是AI图表,是由镝数科技推出的一款创新型智能数据可视化平台,专注于为用户提供便捷的图表生成、数据分析和报告撰写服务。爱图表是中国首个在图表场景接入DeepSeek的产品。通过接入前沿的DeepSeek系列AI模型,爱图表结合强大的数据处理能力与智能化功能,致力于帮助职场人士高效处理和表达数据,提升工作效率和报告质量。

Qwen2.5-VL

Qwen2.5-VL

一款强大的视觉语言模型,支持图像和视频输入

Qwen2.5-VL 是一款强大的视觉语言模型,支持图像和视频输入,可用于多种场景,如商品特点总结、图像文字识别等。项目提供了 OpenAI API 服务、Web UI 示例等部署方式,还包含了视觉处理工具,有助于开发者快速集成和使用,提升工作效率。

下拉加载更多