Sysmon è un'app ufficiale di Microsoft per monitorare lo stato e gli eventi di sistema. Con questa applicazione, puoi tenere un controllo dettagliato degli eventi di sistema, come la creazione di processi, le connessioni di rete, la creazione e cancellazione di file, etc.
Il programma viene installato tramite linea di comando. Per installarlo, dovrai aprire CMD.exe come amministratore nel percorso dove hai installato il programma. Dopodiché, inserisci il comando sysmon -i per installarlo.
Successivamente, accedi al Visualizzatore eventi di Windows. Vai al percorso Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Lì, potrai vedere tutti gli eventi che si verificano sul sistema. Gli eventi di processo che il programma è in grado di registrare sono:
1 ProcessCreate - Creazione del processo
2 FileCreateTime - Tempo di creazione del file
3 NetworkConnect - Rilevata connessione di rete
4 Cambiamento dello stato del servizio di Sysmon (non filtrabile)
5 ProcessTerminate - Processo terminato
6 DriverLoad - Driver caricato
7 ImageLoad - Immagine caricata
8 CreateRemoteThread - Rilevato CreateRemoteThread
9 RawAccessRead - Rilevata lettura di accesso crudo
10 ProcessAccess - Processo accesso
11 FileCreate - File creato
12 RegistryEvent - Oggetto del registro aggiunto o eliminato
13 RegistryEvent - Valore del registro impostato
14 RegistryEvent - Nome dell'oggetto del registro cambiato
15 FileCreateStreamHash - Stream del file creato
16 Impostazioni cambiate di Sysmon (non filtrabile)
17 PipeEvent - Pipeline nominata creata
18 PipeEvent - Connesso a pipeline nominata
19 WmiEvent - Filtro WMI
20 WmiEvent - Consumatore WMI
21 WmiEvent - Filtro del consumatore WMI
22 DNSQuery - Interrogazione del DNS
23 FileDelete - File archiviati eliminati
24 ClipboardChange - Nuovo contenuto aggiunto negli appunti
25 ProcessTampering - Immagine del processo modificata
26 FileDeleteDetected - File eliminato registrato
Commenti
Non ci sono ancora opinioni su Sysmon. Scrivi tu il primo commento! Commento