Microsoft offre una miriade di strumenti utili per gli utenti finali che possono essere utilizzati per modificare, riprodurre, risolvere i problemi, diagnosticare, proteggere o fare qualsiasi cosa con il sistema operativo Windows. Sysinternals Monitor di sistema (Symon), è uno di questi strumenti appena rilasciati progettato per computer basati su Windows che raccoglie tutti i file di registro di sistema. Questi file di registro sono molto importanti e cruciali per comprendere i problemi relativi a Windows. Sysmon una volta installato continua a funzionare in background come inattivo e può essere riportato in vita quando necessario.
Sysmon System Monitor per Windows
Il flusso di lavoro di base dietro System Monitor è che memorizza le informazioni dagli agenti di Windows Event Collection (Event Viewer) e Security Information and Event Management (SIEM) come ID di processo, GUID, registri hash SHA1, MD5 (SHA256). Memorizza tutti questi file sotto Applicazioni e servizi\registri\Microsoft\Windows\Sysmon\operativo cartella in Windows 10/8/7/Vista e sotto Registro eventi di sistema nei vecchi sistemi operativi Windows come Windows XP.
Come installare Monitor di sistema
- Scarica Sysmon [link per il download fornito di seguito]
- Il file scaricato sarà in formato zip. Decomprimi il file usando l'estrattore di file predefinito di Windows o prova Winrar, 7zip ecc.
- Una volta decompresso il file, esegui “Simone” accetta l'EULA e premi Avanti.
- Attendi che System, Monitor completi l'installazione, tutto qui!
Come usare Sysmon
La riga di comando in sysmon può essere utilizzata per installare, disinstallare, controllare e modificare la configurazione di System Monitor:
Installa: Sysmon.exe -i [-h [sha1|md5|sha256]] [-n]
Configura: Sysmon.exe -c [[-h [sha1|md5|sha256]] [-n]|--]
Disinstalla: Sysmon.exe -u
Pochi comandi che l'utente deve comprendere sono:
-io: installare programmi di servizio e driver
-n: memorizza i registri delle connessioni di rete
-tu: disinstalla i programmi di servizio e driver
-c: aggiorna il driver sysmon installato sul computer o aiuta a scaricare la configurazione corrente impostazioni disponibili
-h: Specifica l'algoritmo applicato al programma [di default viene applicato SHA1]
Esempi:
- Per installare l'applicazione con le impostazioni predefinite: “sysmon -i accepteula" senza virgolette [impostazione predefinita SHA1]
- Per installare l'applicazione con le impostazioni MD5 [SHA256]: “sysmon -i accepteula -h md5 -n"
- Per disinstallare “sysmon -u"
System Monitor memorizza eventi come ID evento come,
- ID evento 1: Utilizzato per la creazione del processo,
- ID evento 2: un processo ha modificato l'ora di creazione di un file con timestamp e
- ID evento 3: Per la connessione di rete.
Lo strumento continuerà a funzionare in background e scriverà tutti i registri degli eventi in una cartella. Dopo l'installazione o la disinstallazione, non è necessario riavviare il sistema.
È uno strumento indispensabile per tutti i computer che eseguono Windows. Vai a prendere lo strumento Monitor di sistema da Qui!
AGGIORNARE: Windows Sysinternals Sysmon ora registra anche l'attività di processo nel registro eventi di Windows per l'utilizzo da parte del rilevamento degli incidenti e dell'analisi forense, include eventi di caricamento del driver e di caricamento dell'immagine con informazioni sulla firma, segnalazione di algoritmi di hashing configurabile, filtri flessibili per includere ed escludere eventi e supporto per fornendo la configurazione tramite un file di configurazione invece della riga di comando. Ottiene anche il rilevamento della manomissione del processo malware.