sysmon

系统监视器（Sysmon）是 Windows 系统服务和设备驱动程序，安装后将常驻系统并在重启后持续运行，用于监控并记录系统活动至 Windows 事件日志。它可提供关于进程创建、网络连接以及文件创建时间更改的详细信息。通过使用 Windows 事件收集或 SIEM 代理收集其生成的事件，并进行后续分析，您可以识别恶意或异常活动，了解攻击者和恶意软件在您网络中的运作方式。该服务以受保护进程运行，因此禁止大量用户模式交互。

请注意，Sysmon 不对自身生成的事件进行分析，也不会试图隐藏自身以逃避攻击者检测。

Sysmon 具备以下功能：

• 记录当前进程及父进程的完整命令行信息。
• 使用 SHA1（默认）、MD5、SHA256 或 IMPHASH 记录进程映像文件的哈希值。
• 可同时使用多种哈希算法。
• 在进程创建事件中包含进程 GUID，以便在 Windows 重用进程 ID 时仍能关联事件。
• 在每个事件中包含会话 GUID，便于关联同一登录会话中的事件。
• 记录驱动程序或 DLL 的加载情况，包括其签名和哈希值。
• 记录对磁盘和卷的原始读取访问操作。
• 可选择性地记录网络连接，包括每个连接的源进程、IP 地址、端口号、主机名和端口名称。
• 检测文件创建时间的变化，以判断文件实际创建时间。修改文件创建时间戳是恶意软件常用掩盖痕迹的技术。
• 若注册表中配置发生变更，自动重新加载配置。
• 支持规则过滤，可动态包含或排除特定事件。
• 从启动过程早期即生成事件，以捕获即使高级内核模式恶意软件的活动。