Sysmon

Sysmon은(는) 시스템 상태 및 이벤트를 모니터링할 수 있는 공식 Microsoft 앱입니다. 이 앱을 통해 프로세스를 생성하고 네트워크 연결 및 파일 생성, 삭제 등과 같은 시스템 이벤트를 세부적으로 제어할 수 있습니다.

프로그램은 명령줄을 통해 설치됩니다. 설치하려면 프로그램을 설치한 경로에서 관리자 권한으로 CMD.exe를 실행해야 합니다. 그런 다음 sysmon -i 명령을 입력하여 설치합니다.

여기에서 Windows 이벤트 뷰어로 이동해야 합니다. 그 다음 Applications and Services Logs/Microsoft/Windows/Sysmon/Operational 경로로 이동합니다. 여기에서 시스템에서 발생하는 모든 이벤트를 확인 할 수 있습니다. 프로그램이 기록할 수 있는 프로세스 이벤트는 다음과 같습니다.

1 ProcessCreate - 생성 프로세스

2 FileCreateTime - 파일 생성 시간

3 NetworkConnect - 네트워크 연결 감지됨

4 Sysmon 서비스 상태 변경됨(필터링 불가)

5 ProcessTerminate - 프로세스 종료됨

6 DriverLoad - 로드된 드라이버

7 ImageLoad - 업로드된 이미지 -

8 CreateRemoteThread - CreateRemoteThread 감지됨

9 RawAccessRead - RawAccessRead 감지됨

10 ProcessAccess - 액세스된 프로세스

11 FileCreate - 생성된 파일

12 RegistryEvent - 추가 또는 삭제된 레지스트리 객체

13 RegistryEvent - 레지스트리 값 세트

14 RegistryEvent - 레지스트리 개체의 변경된 이름

15 FileCreateStreamHash - 생성된 파일 스트림

16 변경된 Sysmon 설정(필터링할 수 없음)

17 PipeEvent - 명명된 파이프라인 생성됨

18 PipeEvent - 명명된 파이프라인에 연결됨

19 WmiEvent - WMI 필터

20 WmiEvent - WMI 소비자

21 WmiEvent - WMI 소비자 필터

22 DNSQuery - DNS 쿼리됨

23 FileDelete - 삭제된 아카이브 파일

24 ClipboardChange - 클립보드에 새 콘텐츠 추가

25 ProcessTampering - 프로세스 이미지가 변경됨

26 FileDeleteDetected - 녹음된 파일이 삭제됨