ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • Sysmon의 개념과 사용 방법
      보안 솔루션 2022. 5. 19. 00:20

      SYSMON

      시스몬은 시스템 및 프로세스 모니터링 도구이다. 시스몬을 설치하면 시스템에 상주하여 재부팅 시에도 시스템 활동을 모니터링하고 윈도우 이벤트 로그를 기록한다.

       

      시스몬은 프로세스 생성, 네트워크 연결, 파일 생성 시간 변경 등 자세한 윈도우 이벤트 로그를 제공한다. 윈도우 이벤트, SIEM 에이전트를 사용하여 로그를 수집할 수 있다. 수집된 로그를 분석하여 악성 또는 비정상적인 활동을 식별할 수 있으며, 네트워크에서 공격자와 악성 프로그램의 활동 또한 분석이 가능하다.

       

       

      옵션

      -i
      시스몬 서비스 및 드라이버 설치. 필요한 경우 설정파일 호출 가능
      -l
      로딩된 모듈을 기록하고 필요한 경우 프로세스 목록을 추적 이벤트 매니페스트를 설치
      -n
      네트워크 연결로 로그 기록 및 필요한 경우 프로세스 목록 추적이 가능
      -c
      현재 설정 출력
      -u
      설치 삭제

       

      사용 예

      >  Sysmon64.exe -i -l -n -accepteula 

      네트워크 연결과 로딩된 모듈 모니터링

       

       

      >  Sysmon64.exe -c sysmonconfig-export.xml 

      현재 설정 파일 적용

       

       

      >  Sysmon64.exe -u

      현재 설정 파일 적용

       

      사용 방법

      CMD는 관리자 권한으로, SYSMON이 위치하는 디렉토리에서 사용해야 한다.

       

      SYSMON의 이벤트파일은 윈도우의 로그 디렉토리 C:\windows\system32\winevt\logs에

      파일명 Microsoft-Windows-System%4Operational.evtx로 저장된다.

       

       

       

      이벤트 ID

      1
      Process creation
      새로 생성된 프로세스 정보
      2
      A process changed a file creation time
      프로세스에 의해 파일이 작성 시간이 수정되었을 때 생성
      3
      Network connection
      시스템에서 발생하는 TCP/UDP 네트워크 접속정보 기록
      4
      Sysmon service state change
      Sysmon 서비스의 상태 제공
      (시작 또는 중지)
      5
      Process terminated
      프로세스 종료 정보 제공
      6
      Driver loaded
      시스템에 로드되는 드라이브 정보 제공
      7
      Image loaded
      특정 프로세스에서 모듈이 로드될 때 기록되며 기본적으로 사용되는 옵션으로 설정 필요
      8
      CreateRemoteThread
      프로세스가 다른 프로세스에서 스레드 생성 감지
      9
      RawccessRead
      드라이브에서 읽기 작업을 수행하는지 감시
      10
      ProcessAccess
      프로세스에서 다른 프로세스에 접근 시 기록
      11
      FileCreate
      파일 생성 및 덮어쓰기 시에 기록
      12
      RegistryEvent
      (object create and delete)
      레지스트리 이벤트의 값 수정, 삭제, 설정, 이름 변경 등을 기록
      13
      RegistryEvent
      (Value Set)
      14
      RegistryEvent
      (key and Value Rename)
      15
      FileCreateStreamHash
      파일스트림 생성 시 스트림 내의 해쉬 기록
      16
      Sysmon config state changed
      Sysmon 구성형태가 변경 됨
      17
      PipeEvent (Pipe Created)
      명명된 pipe가 실행될 때 생성
      18
      PipeEvent (Pipe Connected)
      클라이언트와 서버 사이에 명명된 파이프가 연결될 때 기록
      19
      WmiEvent
      (WmiEventFilter activity detected)
      실행하는 방법인 WMI 이벤트 필터가 등록되면 이 이벤트는 WMI namespace, filter name와 filter expression.을 로깅
      20
      WmiEvent
      (WmiEventConsumer activity detected)
      WMI 클라이언트의 등록을 기록하여 클라이언트 이름, 로그, 목적지를 기록한다.
      21
      WmiEvent (WmiEventConsumerToFilter activity detected)
      클라이언트가 필터에 바인딩하면 이 이벤트는 클라이언트 이름과 필터 경로를 기록
      22
      DNS Event(DNS query)
      성공 여부에 상관없이 쿼리 생성
      23
      FileDelete
      파일 삭제

       

       

       

      설정 파일

      설정 파일을 적용하기 위해서는 -i 옵션(설치 시) 또는 -c 옵션(설치 후)을 사용한다. 설정 파일을 사용하면 미리 구성한 설정 값을 적용할 수 있어 캡쳐 이벤트를 쉽게 필터링할 수 있다.

       

      > sysmon -? config 명령을 사용하면 현재 시스몬의 설정 파일 버전 정보를 얻을 수 있다.

      SYSMON 설정 파일은 아래 링크에서 다운로드할 수 있다.

       

      https://github.com/SwiftOnSecurity/sysmon-config 

       

      GitHub - SwiftOnSecurity/sysmon-config: Sysmon configuration file template with default high-quality event tracing

      Sysmon configuration file template with default high-quality event tracing - GitHub - SwiftOnSecurity/sysmon-config: Sysmon configuration file template with default high-quality event tracing

      github.com

       

       

      설정 엔트리

      설정 파일은 설정 엔트리와 필터링 엔트리로 구분된다. 설정 엔트리는 cmd에서 > Sysmon64.exe -? config 명령어를 통해 시스몬 설정에 대한 설명을 출력할 수 있다.

       

      설정 파일은 xml 태그를 기반으로 한다.

       

       

      필터링 엔트리

      필터링 엔트리는 기록할 이벤트를 필터링할 수 있다. 모든 이벤트 로그를 수집하는 것은 비효율적이다. 예를 들어 특정 프로세스에 대한 네트워크 연결을 분석해야 할 때는, 모든 프로세스에 대한 네트워크 연결 로그를 수집할 필요가 없다.

       

      '보안 솔루션' 카테고리의 다른 글

      Sysmon 로그 분석  (0) 2022.06.10
      보안 장비의 역사 : EDR의 등장  (0) 2022.05.19

      관련글 관련글 더보기

      댓글

    티스토리툴바