Microsoft lanzó esta semana una nueva versión del programa Sysinternals Sysmon (Monitoreo del sistema) para dispositivos Microsoft Windows. Sysmon 11.0 es una actualización importante de la aplicación; usuarios puede descargar la última versión del programa desde el sitio web oficial de Sysinternals o inicie la nueva versión de la herramienta directamente usando Sysinternals Live.
Sysmon es una herramienta de monitorización del sistema especializada para Windows 7 y versiones posteriores que se instala como un servicio del sistema y un controlador de dispositivo. La aplicación monitorea los eventos en el sistema comúnmente utilizados por los atacantes, por ejemplo, los ataques de malware y los registra en el registro de eventos de Windows.
El programa monitorea actividades importantes como la creación de procesos y su terminación, conexiones de red, carga de controladores, creación de archivos o Eventos de Registro cuando está activo.
Sysmon 11.0 agrega un nuevo evento a la lista de actividad monitoreada en dispositivos Windows. El evento 23, FileDelete, monitorea toda la actividad de eliminación de archivos en la máquina con Windows; esto brinda a los administradores opciones para ver todos los archivos que se eliminaron en un sistema mientras Sysmon estaba activo.
Una de las razones para agregar el monitoreo de eliminación de archivos provino de la propia experiencia de Microsoft. La compañía notó que los atacantes que lograron ingresar a las máquinas de la compañía soltarían herramientas en la máquina, las usarían y las eliminarían cuando terminaron. El nuevo monitoreo de eliminación de archivos proporciona a los analistas información sobre las herramientas que el atacante utilizó en el sistema. Naturalmente, la actividad de eliminación de archivos también cubre otros tipos de eliminaciones cuando se utiliza.
Aquí hay un video de Mark Russinovich que ofrece detalles adicionales sobre la actualización:
La instalación de Sysmon es sencilla. Todo lo que necesita hacer es descargar la última versión de archivo del programa y extraerlo en el sistema de destino. Puede verificar la configuración usando sysmon -s usando el símbolo del sistema e instale el servicio de monitoreo usando sysmon -accepteula -i; esto usa la configuración predeterminada. Para desinstalar sysmon, ejecute sysmon -u desde la línea de comando.
Los usuarios avanzados pueden usar archivos de configuración para personalizar el monitoreo, por ejemplo, para ignorar cierta actividad en el sistema. La nueva versión de Sysmon viene con una bandera para deshabilitar las búsquedas DNS inversas para evitar que los servidores DNS se sobrecarguen con las solicitudes de la herramienta.
Ahora usted: ¿utiliza herramientas de Sysinternals?