Sysmon 5 es la última versión del popular programa de monitoreo para Windows que escribe actividades en el registro de eventos de Windows.

Sysmon, que significa System Monitor, es un monitor de fondo. Esto significa que hará su trabajo una vez instalado sin interacción del usuario o interfaz gráfica de usuario.

De hecho, todo lo que tiene que hacer para instalarlo es ejecutar un comando corto desde la línea de comandos para instalar el servicio de monitoreo.

Esto se hace tocando la tecla de Windows, escribiendo cmd.exe, manteniendo presionada la tecla Shift y Ctrl antes de presionar la tecla Enter, y escribiendo sysmon -accepteula –i en el directorio del programa Sysmon.

Consejo: para desinstalar Sysmon nuevamente, ejecute la operación nuevamente pero esta vez con el comando sysmon -u.

El programa se registra directamente en el registro de eventos de Windows, lo que significa que debe abrirlo utilizando el visor nativo o un programa de terceros como Event Log Explorer para acceder a los datos.

Sysmon 5

sysmon 5

Todos los eventos en los que se almacenan las pistas de Sysmon 5 Registros de aplicaciones y servicios / Microsoft / Windows / Sysmon / Operational en el registro de eventos.

visor de eventos sysmon

La aplicación rastrea los siguientes eventos:

  • Evento 1: Creación de proceso: cualquier proceso nuevo que se cree en el sistema se enumera bajo este ID de evento.
  • Evento 2: Cambios en la hora de creación del archivo.
  • Evento 3: Conexiones de red: deshabilitado de forma predeterminada. Para habilitarlo, ejecute el comando de instalación con el parámetro -norte.
  • Evento 4: Cambios en el estado del servicio Sysmon.
  • Evento 5: Proceso terminado.
  • Evento 6: Driver cargado.
  • Evento 7: Imagen cargada. Esto está deshabilitado por defecto. Para habilitarlo, ejecute el comando de instalación con el parámetro -l.
  • Evento 8: Crear subproceso remoto: registra cuando un proceso crea un subproceso en otro proceso.
  • Evento 9: Lectura de acceso sin formato: registra cuando un proceso usa operaciones de lectura desde la unidad usando \ y .
  • Evento 10: Acceso al proceso: registra cuando un proceso abre otro proceso.
  • Evento 11: Archivo Crear.
  • Evento 12: Evento de registro (creación y eliminación de objetos): registra cuando los procesos crean o eliminan objetos de registro.
  • Evento 13: Evento de registro (conjunto de valores): registra cuando los procesos establecen valores en el registro.
  • Evento 14: Evento de registro (cambio de nombre de clave y valor): registra cuando se cambia el nombre de las claves o valores del registro.
  • Evento 15: File Create Stream Hash: registra cuando se crea una secuencia de archivo.
  • Evento 255: Error.

Se admite el filtrado, lo que significa que puede utilizar el filtrado de eventos para filtrar eventos específicos que le interesan.

El nuevo Sysmon 5 introduce nuevas opciones de supervisión que registran la creación de archivos y los eventos de modificación del registro.

Esta importante actualización de Sysmon, un monitor en segundo plano que registra la actividad en el registro de eventos para su uso en la detección de incidentes de seguridad y análisis forense, introduce la creación de archivos y el registro de modificaciones del registro. Estos tipos de eventos permiten configurar filtros que capturan actualizaciones de la configuración crítica del sistema, así como cambios en los puntos de entrada de inicio automático utilizados por el malware.

Palabras de cierre

Sysmon 5 mejora aún más un programa que ya es excelente al introducir la modificación del Registro y eventos de creación de archivos en las capacidades de registro. Dado que nada más ha cambiado, es obvio actualizar la copia existente del programa a la última versión para beneficiarse de las opciones adicionales de registro de eventos.