加载中...
avatar
文章
68
标签
24
分类
9
首页
时间轴
标签
分类
链接
  • 友情链接
  • 常用链接
关于
DropAnn
搜索
首页
时间轴
标签
分类
链接
  • 友情链接
  • 常用链接
关于

Sysmon

发表于2021-08-19|更新于2021-09-15|主机安全
|字数总计:6|阅读时长:1分钟|阅读量:
文章作者: DropAnn
文章链接: https://dropann.github.io/p/bef03572.html
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 DropAnn!
安全事件监控
cover of previous post
上一篇
Nginx日志
cover of next post
下一篇
MySQL注入
avatar
DropAnn
在研发和安服仔之间徘徊
文章
68
标签
24
分类
9
Follow Me
目录
  1. 1. 概述
  2. 2. 安装
    1. 2.1. 命令行安装
    2. 2.2. 配置文件安装
    3. 2.3. Sysmon卸载
  3. 3. 日志通过事件查看器查看
  4. 4. 绕过Sysmon
  5. 5. 事件ID
    1. 5.1. 事件ID 1:进程创建
    2. 5.2. 事件ID 2:一个进程更改了文件创建时间
    3. 5.3. 事件ID 3:网络连接
    4. 5.4. 事件ID 4:Sysmon服务状态已更改
    5. 5.5. 事件ID 5:进程终止
    6. 5.6. 事件ID 6:驱动程序已加载
    7. 5.7. 事件ID 7:图像已加载
    8. 5.8. 事件ID 8:CreateRemoteThread
    9. 5.9. 事件ID 9:RawAccessad
    10. 5.10. 事件ID 10:ProcessAccess
    11. 5.11. 事件ID 11:文件创建
    12. 5.12. 事件ID 12:RegistryEvent(对象创建和删除)
    13. 5.13. 事件ID 13:RegistryEvent(值集)
    14. 5.14. 事件ID 14:RegistryEvent(键和值重命名)
    15. 5.15. 事件ID 15
    16. 5.16. 事件ID 16:ServiceConfigurationChange
    17. 5.17. 事件ID 17:PipeEvent(已创建管道)
    18. 5.18. 事件ID 18:PipeEvent(已连接管道)
    19. 5.19. 事件ID 19:WmiEvent(检测到WmiEventFilter活动)
    20. 5.20. 事件ID 20:WmiEvent(检测到WmiEventConsumer活动)
    21. 5.21. 事件ID 21:WmiEvent(检测到WmiEventConsumerToFilter活动)
    22. 5.22. 事件ID22:DNS查询
    23. 5.23. 事件ID23:检测到文件删除
    24. 5.24. 事件ID24
    25. 5.25. 事件ID 255:错误
  6. 6. Sysmon工具
    1. 6.1. Sysmon View
    2. 6.2. sysmon shell
  7. 7. 使用案例
最新文章
test2024-04-25
Spring学习2023-06-10
Struts22023-01-31
Fastjson漏洞利用2022-12-09
应用安全2022-11-24
©2020 - 2024 By DropAnn
框架 Hexo|主题 Butterfly
本地搜索