Sysmon, sistemin durumunu ve olaylarını izlemek için resmi bir Microsoft uygulamasıdır. Onunla, işlem oluşturma, ağ bağlantıları, dosya oluşturma ve silme gibi sistem olaylarını ayrıntılı olarak kontrol edebilirsiniz.
Program, komut satırı kullanılarak yüklenir. Yüklemek için, programın yüklendiği yolu belirterek CMD.exe'yi yönetici olarak açmanız gerekir. Daha sonra, sysmon -i komutunu girerek yükleme işlemini tamamlayabilirsiniz.
Bu işlemden sonra Windows Olay Görüntüleyicisini açın. Uygulamalar ve Hizmet Günlükleri/Microsoft/Windows/Sysmon/Operasyonel yolunu izleyin. Burada sistem üzerinde gerçekleşen tüm olayları görebilirsiniz. Programın kaydedebildiği işlem olayları aşağıdaki gibidir:
1 ProcessCreate - İşlem oluşturma
2 FileCreateTime - Dosya oluşturulma saati
3 NetworkConnect - Ağ bağlantısı algılandı
4 Sysmon'in hizmet durumu değişti (filtrelenemez)
5 ProcessTerminate - İşlem sonlandırıldı
6 DriverLoad - Sürücü yüklendi
7 ImageLoad - Görüntü yüklendi
8 CreateRemoteThread - Uzak iş parçacığı oluşturma algılandı
9 RawAccessRead - Ham erişim okuma algılandı
10 ProcessAccess - İşlem erişildi
11 FileCreate - Dosya oluşturuldu
12 RegistryEvent - Kayıt defterine nesne eklendi veya silindi
13 RegistryEvent - Kayıt defteri değeri ayarlandı
14 RegistryEvent - Kayıt defteri nesnesinin adı değiştirildi
15 FileCreateStreamHash - Dosya akışı oluşturuldu
16 Sysmon ayarları değişti (filtrelenemez)
17 PipeEvent - Adlandırılmış boru oluşturuldu
18 PipeEvent - Adlandırılmış boruya bağlanıldı
19 WmiEvent - WMI filtresi
20 WmiEvent - WMI tüketicisi
21 WmiEvent - WMI tüketici filtresi
22 DNSQuery - DNS sorgulandı
23 FileDelete - Arşiv dosyası silindi
24 ClipboardChange - Panoya yeni içerik eklendi
25 ProcessTampering - İşlem görüntüsü değiştirildi
26 FileDeleteDetected - Silinen dosya kaydedildi
Görüşler
Sysmon hakkında henüz bir yorum yok. İlk yorum yapan siz olun! Yorum