Sysmon هو تطبيق رسمي من مايكروسوفت لمراقبة حالة النظام والأحداث الخاصة به. باستخدام هذا التطبيق، يمكنك التحكم بالتفصيل في أحداث النظام، مثل إنشاء العمليات، الاتصالات الشبكية، إنشاء الملفات وحذفها، إلخ.
يتم تثبيت البرنامج عبر سطر الأوامر. لتثبيته، ستحتاج إلى فتح CMD.exe كمسؤول في المسار الذي قمت بتثبيت البرنامج فيه. بعد ذلك، أدخل الأمر sysmon -i لتثبيته.
بعد ذلك، انتقل إلى عارض أحداث ويندوز. ثم اتبع المسار Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. هناك، يمكنك مشاهدة جميع الأحداث التي تحدث في النظام. الأنواع التالية من الأحداث يمكن للبرنامج تسجيلها:
1 ProcessCreate - إنشاء عملية
2 FileCreateTime - وقت إنشاء الملف
3 NetworkConnect - اكتشاف اتصال الشبكة
4 تغيير حالة خدمة Sysmon (لا يمكن تصفيتها)
5 ProcessTerminate - إنهاء عملية
6 DriverLoad - تحميل مشغل
7 ImageLoad - تحميل صورة
8 CreateRemoteThread - اكتشاف CreateRemoteThread
9 RawAccessRead - اكتشاف RawAccessRead
10 ProcessAccess - الوصول إلى العملية
11 FileCreate - إنشاء ملف
12 RegistryEvent - إضافة أو حذف كائن التسجيل
13 RegistryEvent - تعيين قيمة التسجيل
14 RegistryEvent - تغيير اسم كائن التسجيل
15 FileCreateStreamHash - إنشاؤها دفق الملف
16 تغيير إعدادات Sysmon (لا يمكن تصفيتها)
17 PipeEvent - إنشاء أنبوب مسمى
18 PipeEvent - الاتصال بأنبوب مسمى
19 WmiEvent - مرشح WMI
20 WmiEvent - مستهلك WMI
21 WmiEvent - مرشح مستهلك WMI
22 DNSQuery - الاستعلام عن DNS
23 FileDelete - حذف ملفات الأرشيف
24 ClipboardChange - إضافة محتوى جديد إلى الحافظة
25 ProcessTampering - تغيير صورة العملية
26 FileDeleteDetected - تسجيل حذف الملفات
التعليقات
لا توجد آراء حول Sysmon حتى الآن. كن الأول! تعليق