Microsoft veröffentlicht Sysmon 11, um Benutzern das Sichern gelöschter Daten zu erleichtern
Microsoft hat Sysmon 11 veröffentlicht, mit dem Benutzer gelöschte Dateien auf einem überwachten Gerät überwachen und automatisch archivieren können.
Zu Ihrer Information, Sysmon ist ein sysinternes Tool, mit dem die Systeme auf böswillige Aktivitäten überwacht und diese Ereignisse im Windows-Ereignisprotokoll protokolliert werden können. Die Benutzer können jedoch böswillige Aktivitäten in ihrem Netzwerk löschen, nachdem sie verletzt wurden, oder eine Reaktion auf Vorfälle und eine digitale Forensik durchführen, um zu erfahren, wie ein Angriff stattgefunden hat.
Mit der Version Sysmon 11 kann das Sysmon das Löschen von Dateien überwachen und die Dateien automatisch archivieren, wenn sie gelöscht werden. Dieses Tool hilft auch bei der Reaktion auf Vorfälle, wenn digitale Forensik durchgeführt oder Sicherheitsverletzungen gemindert werden.
Wenn ein Netzwerk verletzt wird, verwenden die Angreifer verschiedene Tools, um sich seitlich im Netzwerk auszubreiten. Sobald sie Zugriff haben, sammeln sie wertvolle Daten und stellen Malware wie Ransomware bereit. In diesem Fall werden diese genannten Tools von den Angreifern automatisch gelöscht, sodass die Einsatzkräfte und Forscher sie nicht auf Schwachstellen analysieren oder erfahren können, wie sie das Netzwerk verletzt haben.
Mit der neuen Überwachungs- und Archivierungsfunktion zum Löschen von Dateien von Sysmon wird der Zugriff auf die Tools und ausführbaren Malware-Dateien, die bei einem Angriff verwendet werden, für die Einsatzleiter viel einfacher. Diese Dateien helfen den Forschern, mehr über die Taktiken, Techniken und Verfahren der Angreifer zu erfahren, um eine bessere Verteidigung zu erreichen.
Sie können das Sysmon 11 von der Sysmon-Seite von Sysinternal oder von https://live.sysinternals.com/sysmon.exe herunterladen. Nach dem Download sollten Sie es an einer Eingabeaufforderung mit erhöhten Rechten ausführen, da für die ordnungsgemäße Ausführung Administratorrechte erforderlich sind.
Standardmäßig kann der Sysmon 11 die grundlegenden Informationen wie die Prozesserstellung und Änderungen der Dateizeit überwachen. Sie können es jedoch so konfigurieren, dass viele andere Ereignisse protokolliert werden. Um diese Funktion nutzen zu können, müssen Sie unserer Sysmon-Konfigurationsdatei die neuen Konfigurationsoptionen ArchiveDirectory und FileDeletion hinzufügen. Sie können die Konfigurationsdatei mit dem folgenden Befehl laden:
sysmon -i sysmon.xml
/ DeletedFiles ist der Name des Ordners, in dem die Überwachung des Löschens von Dateien und die Archivierung aller gelöschten Dateien angezeigt werden, die durch die Basiskonfigurationsdatei aktiviert wurden. In diesem Ordner wird auch eine Kopie der gelöschten Datei gespeichert.
Verwenden Sie die Option onmatch = “exclude” für die Option FIleDeletion. Wenn Sie das Sysmon mit dieser Konfiguration starten, werden in der Ereignisanzeige Ereignisse zum Löschen von Dateien in Anwendungen und Dienstprotokollen / Microsoft / Windows / Sysmon / Operational protokolliert.
Wenn eine Datei aus dem Laufwerk C; / gelöscht wird, wird sie in den Dateien C: / DeletedFiles mit dem Namen Sha1-hash.extension archiviert. Die obige Datei wurde beispielsweise als C: \ DeletedFiles \ C24FEDB9B8A592722D5A9ADB34D276FC3B329D6F.exe archiviert.
Dieses Verzeichnis ist mit der System-ACL geschützt. Um darauf zugreifen zu können, müssen Benutzer das Programm psexec.exe herunterladen und mit diesem Befehl eine cmd-Eingabeaufforderung starten:
psexec -sid cmd
Nach dem Download ist der Zugriff auf die gelöschten Dateien einfach.
Das obige Beispiel ist nur ein Beispiel, um zu zeigen, was der Systemmonitor tun kann. Weitere Informationen zu diesem Tool finden Sie in der Dokumentation auf der Website von Sysinternails.