유틸리티 Sysmon v14.14

시스템 모니터 (Sysmon)는 Windows 시스템 서비스 및 디바이스 드라이버로, 일단 시스템에 설치되면 시스템 재부팅을 통해 Windows 이벤트 로그에 시스템 활동을 모니터링하고 기록합니다. 프로세스 생성, 네트워크 연결, 파일 생성 시간 변경 사항에 대한 자세한 정보를 제공합니다. Windows 이벤트 컬렉션 또는 SIEM 에이전트를 사용하여 생성되는 이벤트를 수집하고 이후에 분석하여 악의적이거나 비정상적인 활동을 식별하고 침입자 및 맬웨어가 네트워크에서 작동하는 방식을 이해할 수 있습니다.

Sysmon은 생성되는 이벤트에 대한 분석을 제공하지 않으며 공격자로부터 자신을 보호하거나 숨기려고 시도하지도 않습니다.

Sysmon 에는 다음과 같은 기능이 포함됩니다.

• 현재 프로세스와 부모 프로세스 모두에 대한 전체 명령줄을 사용하여 프로세스 만들기를 기록합니다.
• SHA1(기본값), MD5, SHA256 또는 IMPHASH를 사용하여 프로세스 이미지 파일의 해시를 기록합니다.
• 여러 해시를 동시에 사용할 수 있습니다.
• Windows에서 프로세스 ID를 다시 사용하는 경우에도 이벤트의 상관 관계를 허용하는 프로세스 만들기 이벤트에 프로세스 GUID를 포함합니다.
• 동일한 로그온 세션에서 이벤트의 상관 관계를 허용하도록 각 이벤트에 세션 GUID를 포함합니다.
• 서명 및 해시를 사용하여 드라이버 또는 DLL의 로드를 기록합니다.
• 디스크 및 볼륨의 원시 읽기 액세스에 대한 로그가 열립니다.
• 필요에 따라 각 연결의 원본 프로세스, IP 주소, 포트 번호, 호스트 이름 및 포트 이름을 포함한 네트워크 연결을 기록합니다.
• 파일이 실제로 만들어진 시기를 이해하기 위해 파일 생성 시간의 변경 내용을 검색합니다. 파일 만들기 타임스탬프 수정은 일반적으로 맬웨어가 해당 트랙을 커버하는 데 사용하는 기술입니다.
• 레지스트리에서 변경된 경우 구성을 자동으로 다시 로드합니다.
• 특정 이벤트를 동적으로 포함하거나 제외하는 규칙 필터링입니다.
• 부팅 프로세스 초기에 이벤트를 생성하여 정교한 커널 모드 맬웨어에 의한 활동을 캡처합니다.

https://learn.microsoft.com/ko-kr/sysinternals/downloads/sysmon

Sysmon(4.6MB) 다운로드