Sysmon چیست و چگونه در جمع آوری لاگ به شما کمک میکند
System Monitor ویا به اختصار (Sysmon) یکی از رایج ترین افزونه های مورد استفاده برای لاگ ویندوز است. با Sysmon، میتوانید فعالیتهای مخرب را با ردیابی رفتار کد و ترافیک شبکه شناسایی کنید و همچنین شناساییهایی را بر اساس فعالیت مخرب ایجاد کنید.
Sysmon بخشی از ابزارهای ارائه شده توسط Sysinternals است که اکنون متعلق به مایکروسافت است و لاگهای استاندارد ویندوز را با تولید برخی نظارتهای سطح بالاتر (higher level monitoring) از eventsها مانند: proces creations، network connections و تغییرات در سیستم file system کامل میکند. همچنین نصب و استقرار آن بسیار آسان است.
۵ دلیل برای استفاده از Sysmon:
۱. Sysmon قابلیت های Logging ویندوز را گسترش می دهد
بهطور پیشفرض، قابلیتهای گزارشگیری ویندوز از طریق Event Viewer بسیار محدود است. اگر یک فایل سرور دارید، می توانید کارهای بیشتری را با لاگ ویندوز انجام دهید، مانند ممیزی اشتراک فایل ها. و اگر واقعاً پیشرفته هستید، میتوانید ACLهای ویژه (فهرستهای کنترل دسترسی) را در فایلهای Hive تنظیم کنید تا تشخیص دهند که چه زمانی یک عامل تهدید سعی میکند به نسخههای shadow copies شما دسترسی پیدا کند.
با این حال، به طور کلی، Windows Event Viewer سخت است و کار کردن با آن دشوار است. و نمی تواند دید واقعی را به processes های درون ماشین های شما ارائه دهد. اینجاست که Sysmon وارد می شود. این بزار کاربردی اطلاعات و توانایی مشاهده اتصالات شبکه را به شما ارائه می دهد. سطح بالاتری از نظارت را بر روی رویدادهای خاصی مانند ایجاد فرآیند، اتصالات شبکه و تغییراتی که ممکن است در سیستم فایل رخ دهد ایجاد می کند.
۲. سیسمان می تواند شاخص های خطر (Indicators of Compromise) را تشخیص دهد
برخلاف آنچه که مهاجمان سایبری از شما می خواهند فکر کنید، تعداد محدودی راه برای حمله به یک ماشین وجود دارد. Sysmon . با ثبت خط لاگ های PowerShell – دید کافی برای شناسایی هر تهدیدی که در یک محیط جدید ایجاد میشود را فراهم میکند، چون می تواند دید گستردهای از حافظه را نیز در اختیار شما قرار دهد.
Sysmon نه تنها به شما می گوید که کدام فرآیندها (یا همون پروسس ها) در حال اجرا هستند، بلکه همچنین: چه زمانی این فرآیندها به پایان رسیدند؟ فایل اجرایی یا باینری که با خودش اجرا می شود چیست؟ هش آن چیست؟ همه این اطلاعات باعث میشود که مشاهده کنید آیا کدهای مخرب سعی در مخفی کردن خود یا تقلید از یک برنامه قانونی مانند PowerShell دارد یا خیر. با Sysmon، حتی میتوانید تمام فایلهای .exe حذف شده را ذخیره سازی کنید تا مشخص کنید آیا مهاجمی در محیط شما وجود دارد که سعی دارد مسیر خود را پنهان کند.
Sysmon همچنین میتواند با شناسایی rclone، که یکی از ابزارهایی است که هکرها برای استخراج دادهها از آن استفاده میکنند، به شناسایی نفوذ باجافزار کمک کند.
۳. سیسمان یک دنباله وقایع را برای پاسخ به حادثه (Incident Response) ارائه می دهد
بدیهی است که هیچکس نمیخواهد با یک حمله سایبری ضربه بخورد، اما بدتر از آن ضربه خوردن با یک حمله سایبری و ندانستن آنچه اتفاق افتاده است – یا ندانیم که آیا اتفاق مخرب دیگری رخ داده است یا خیر. در این موارد، شما باید کل اکتیو دایرکتوری خود را جستجو کنید و فقط امیدوار باشید که کاربر دیگری پیدا کنید.
جمع آوری داده ها مربوط به یک رویداد با Sysmon بسیار ساده تر است. حتی اگر هیچ تشخیصی برای آن نداشته باشید، میتوانید به عقب برگردید و دقیقاً بفهمید که در طول یک حادثه چه اتفاقی افتاده است. Sysmon به شما دید عمیقی را نسبت به هر سیستم عاملی که در محیط شما اجرا میکند، میدهد، بنابراین میتوانید با اطمینان بالا بگویید که میدانید در شبکه و سیستم های شما چه میگزرد، زیرا همه گزارشها را برای آن در اختیار دارید. به زبان ساده: Sysmon سلامت راهکار شما را در طول فرآیند IR حفظ می کند.
۴. Sysmon سریعتر تشخیص می دهد: Sysmon در مقابل EDR
Sysmon می تواند دید وسیعی را در سراسر محیط شما به طرق مختلف ارائه دهد، و از این نظر اساساً آنچه را که EDR می خواهد انجام دهد تقلید می کند. با این حال، اغلب میتوانید با نگاه کردن به دادههای Sysmon به تشخیص بهتری دست پیدا کنید. اغلب اوقات Sysmon رفتارها را حتی قبل از ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) تشخیص می دهد.
این بدان معنا نیست که Sysmon جایگزین مناسبی برای نرم افزار EDR قوی است. اگرچه Sysmon در تشخیص رفتارها عالی است، اما در بخش پاسخ EDR کمکی نمی کند. Sysmon همچنین فرض می کند که شما توانایی متمرکز کردن گزارش های خود را دارید.
با این حال، برای تیم های کوچک فناوری اطلاعات و امنیت که بودجه یا منابع لازم برای استقرار EDR را ندارند، فعال کردن Sysmon مطمئناً بهتر از هیچ است.
۵. نصب Sysmon آسان است
نصب و استقرار Sysmon بسیار آسان است. با دنبال کردن سه مرحله، حجم باورنکردنی از لاگ های سیستم ایجاد می شود.
به راحتی می توانید به صورت خودکار Sysmon را نصب و اجرایی کنید و با توجه به نیاز خود تمامی لاگها رو دریافت کنید. مییی تونید نصب و پیکربندی Sysmon را انجام می دهد تا لاگ ها را از طریق Sysmon به یک SIEM مانند اسپلانک ارسال کنید و به صورت هدفمند از آنها استفاده کنید.
مطالب زیر را حتما بخوانید
-
تحلیل لاگ (Log Analysis) چیست؟ و چگونه به امنیت شما کمک میکند
99 بازدید
-
مدرک اسپلانک
3.07k بازدید
-
سوالات مصاحبه اسپلانک
2.53k بازدید
-
نرم افزار SIEM چیست؟ این ابزار قدرتمند چگونه به امنیت شما کمک می کند
4.49k بازدید
-
اسپلانک API چیست؟ و چگونه به کسب و کار شما کمک می کند
1.38k بازدید
-
اسپلانک Apps و Add-ons های آن چه هستند و چه کمکی به ما می کنند؟
1.62k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.