Sysmon

Sysmon ist eine offizielle Microsoft-App zur Überwachung des Systemstatus und der Systemereignisse. Damit können Sie detailliert die Systemereignisse wie das Erstellen von Prozessen, Netzwerkverbindungen, das Erstellen und Löschen von Dateien usw. überwachen.

Das Programm wird über die Befehlszeile installiert. Um es zu installieren, müssen Sie CMD.exe als Administrator im Pfad öffnen, in dem das Programm installiert ist. Anschließend geben Sie den Befehl [b]sysmon -i[/] ein, um es zu installieren.

Gehen Sie danach zum Windows-Ereignisanzeigegerät. Navigieren Sie dann zum Pfad Applications and Services LogsMicrosoftWindowsSysmonOperational. Dort können Sie alle auf dem System stattfindenden Ereignisse sehen. Die Prozesse, die das Programm aufzeichnen kann, sind wie folgt:

1 ProcessCreate - Prozess erstellen

2 FileCreateTime - Zeitpunkt der Dateierstellung

3 NetworkConnect - Netzwerkverbindung erkannt

4 Geänderter Dienststatus von Sysmon (kann nicht gefiltert werden)

5 ProcessTerminate - Prozess beendet

6 DriverLoad - Treiber geladen

7 ImageLoad - Bild hochgeladen

8 CreateRemoteThread - CreateRemoteThread erkannt

9 RawAccessRead - RawAccessRead erkannt

10 ProcessAccess - Prozess wurde zugegriffen

11 FileCreate - Datei erstellt

12 RegistryEvent - Registry-Objekt hinzugefügt oder gelöscht

13 RegistryEvent - Registry-Wert gesetzt

14 RegistryEvent - Name des Registry-Objekts geändert

15 FileCreateStreamHash - Datei-Stream erstellt

16 Geänderte Sysmon-Einstellungen (kann nicht gefiltert werden)

17 PipeEvent - Benannter Pipeline erstellt

18 PipeEvent - Verbindung mit benannter Pipeline

19 WmiEvent - WMI-Filter

20 WmiEvent - WMI-Verbraucher

21 WmiEvent - WMI-Verbraucherfilter

22 DNSQuery - DNS-Abfragen

23 FileDelete - Gelöschte archivierte Dateien

24 ClipboardChange - Neue Inhalte in Zwischenablage hinzugefügt

25 ProcessTampering - Prozessabbild geändert

26 FileDeleteDetected - Gelöschte Datei wurde protokolliert