跳到主要内容

Sysmon

Sysmon

Sysmon 的全称是 System Monitor,它是微软 Sysinternals 工具集中的一个系统级监控工具,常用于 Windows 安全审计与威胁分析。

和普通的 Windows 事件日志相比,Sysmon 的特点是会更细致地记录主机上的关键行为,例如进程创建、网络连接、驱动加载、文件时间修改、注册表变更等,因此很适合安全人员做入侵检测、攻击溯源和规则告警。

可以把 Sysmon 理解成 Windows 主机上的“高质量行为日志补充器”。它本身不负责拦截攻击,也不是杀毒软件,而是把很多重要行为记录下来,供 SIEM、EDR、日志平台或安全分析人员进一步使用。

Sysmon 常见记录内容

  • 进程创建:记录哪个进程被启动、父进程是谁、命令行参数是什么。
  • 网络连接:记录进程向哪些 IP 和端口发起了连接。
  • 驱动与镜像加载:记录驱动、DLL 等模块的加载情况。
  • 注册表活动:记录某些关键注册表项的创建、修改和删除。
  • 文件活动:可关注文件创建时间篡改等可疑行为。
  • 进程访问:可帮助发现注入、凭据抓取、远程线程等攻击线索。

Sysmon 在安全中的价值

  • 在应急响应中,用来还原攻击链,例如恶意文档启动了什么进程、进程又连到了哪里。
  • 在威胁狩猎中,用来查找横向移动、持久化、白利用等行为。
  • 在检测建设中,可以基于 Sysmon 事件编写 Sigma、SIEM 关联规则或自定义告警。

需要注意的点

  • Sysmon 默认并不是“装上就全都好用”,通常需要配套配置文件来决定记录哪些事件。
  • 规则太宽会导致日志量很大,规则太窄又可能漏掉关键行为,所以实际使用中需要平衡。
  • 它更偏向“记录与可见性”,而不是“阻断与处置”。

从定位上看,Sysmon 更像是 Windows 安全监控的基础数据源之一。很多安全团队会把它和 Windows 原生日志、EDR 遥测、SIEM 平台结合起来使用。