Sysmon 로그 분석

1. 파일 생성

Event ID : 11

TXT 파일을 생성한다.

 

해당 TXT파일의 생성 로그가 기록되지 않음을 확인한다.

 

설치된 sysmon의 설정 값이 txt확장자를 필터링 하고 있기 때문이다.

 

sysmon설정 파일을 수정하거나, 필터링 되지 않은 파일을 생성한다.

현재 설치된 sysmon의 설정 값은 ppt 확장자를 로깅하고 있다.

 

새로운 PPT 파일을 생성한다.

 

기록된 로그를 확인한다.

 

---

2. 레지스트리 편집

Event ID : 12, 13, 14

 

레지스트리 생성, 변경

새로운 키, 값, 데이터를 생성한다.

 

새로운 키 생성 로그를 확인한다.

 

새로운 값 생성 로그를 확인한다.

 

값 이름 변경 로그를 확인한다.

 

값 데이터 변경 로그를 확인한다.

 

레지스트리 삭제

새로 생성한 값을 삭제한다.

 

값 삭제 로그를 확인한다.

 

새로 생성한 키를 삭제한다.

 

키 삭제 로그를 확인한다.

 

---

3. 인터넷 연결

Event ID : 3

 

TCP 연결

TCP 연결을 위해 카톡을 실행한다.

 

 

TCP 연결 로그를 확인한다.

 

UDP 연결

UDP 연결을 위해 보이스 톡을 실행한다.

 

UDP 연결 로그를 확인한다.

 

---

4. 프로세스 생성, 종료

Event ID : 1, 5

 

프로세스 생성, 종료

그림판을 실행하고 종료한다.

 

그림판이 실행된 로그를 확인한다.

 

그림판이 종료된 로그를 확인한다.

 

자식 프로세스 생성, 종료

자식 프로세스로 메모장이 실행되는 프로그램을 실행한다.

 

프로그램이 실행된 로그를 확인한다.

 

메모장이 실행된 로그를 확인한다.

 

프로그램이 종료된 로그를 확인한다.

 

메모장이 종료된 로그를 확인한다.

 

※ 설정 파일 버전 4.22의 경우, 이벤트ID 5의 설정 태그 중 윗 태그를 삭제하고

> sysmon64.exe -c sysmondonfig-export.xml

명령어로 설정 파일을 새로 적용해야 삭제 로그가 기록된다.

 

수정 전, 후

 

---

5. 파일 다운로드

Event ID : 15

 

웹 브라우저를 실행한다.

 

외부에서 파일을 다운받는다.

 

※ 로그가 생성되려면, 설정파일에서 필터링되지 않는 확장자이어야 한다.

 

파일이 다운로드된 것을 확인한다.

 

웹 브라우저가 실행된 로그를 확인한다.

 

DNS 쿼리가 전송된 로그를 확인한다.

 

다운로드 할 파일이 생성된 로그를 확인한다.

 

파일이 다운로드된 로그를 확인한다.

 

웹 브라우저가 종료된 로그를 확인한다.