Sysmon의 개념 및 환경 구성

 

sysmon 개념 

Sysmon은 기본 윈도우 이벤트 로그로는 한계가 있는 프로세스 생성, 네트워크 연결 등을 이벤트화 할 수 있습니다. 사고 대응 관점에서 생성된 프로세스 목록과 네트워크 연결 로그는 사고를 재구성하는데 굉장히 도움이 됩니다. Sysmon은 별도의 모니터링 도구 없이 간단히 드라이버 설치만으로 이런 로그를 이벤트화 시켜줍니다. (출처 : http://blog.plura.io/?p=5500)

앞으로 악성코드를 분성할 때 sysmon을 통해 위의 설명 대로 사고 대응 관점에서 생성된 프로세스와 네트워크 등 사고 재구성에 많은 활용을 할 것 입니다. !

 

 

 

sysmon 환경구성

vmware를 통해 32비트로 구성하여 실습을 진행하는데 있어서 최신버전 sysmon을 이용했지만.. 이벤트로그가 모두 뜨지 않는 현상이 발견됐다. 예를들어 Jigsaw라는 .exe파일을 실행했음에도 불구하고 Jigsaw.exe의 실행이 로그에 남지 않는 현상이.. 

이 글 쓰는 시점의 Sysmon은 v7.01인데 os 지원 공지 사항이 있다.

- Windows Server 2008 이하를 사용하시는 사용자께서는 Sysmon v3.21을 설치하셔야 Sysmon을 사용하실 수 있습니다. 

Sysmon v3.21은 첨부파일에 올려놨고 (즉, 낮은 버전은 window server을 이용하시는 분! ex) vmware)

최신 버전은 https://docs.microsoft.com/ko-kr/sysinternals/downloads/sysmon 여기서 다운 받으시면 됩니다.

 

sysmon을 다운로드받고 cmd창에 다운받은 sysmon.exe가있는 경로로 이동한다 .

그런다음 다음과 같이 옵션을 줘서 설치를 진행하면된다.

 

Sysmon.exe -i -l -n -r -accepteula

 

-i : 서비스 및 드라이버 설치. 필요한 경우 설정파일 호출

-l : 로딩된 모듈을 기록하고 필요한 경우 프로세스 목록을 추적 이벤트 매니페스트를 설치한다.

-n : 네트워크 연결 로그 기록 및 필요한 경우 프로세스 목록 추적이 가능하다.

-r : 인증서 서명 해지여부를 확인한다. (낮은 버전인 sysmon 3.21의 경우에는 -r옵션이 없다.)

(https://docs.microsoft.com/ko-kr/sysinternals/downloads/sysmon --> 더 많읍 옵션 확인)

 

지금까지 sysmon의 개념과 환경구성에 대해 알아봤다.!