Sysinternals Sysmon auf Version 11.0 aktualisiert
Mark Russinovich hat sein Windows-Tool Sysmon aus den Sysinternals-Tools auf die Version 11.0 gehoben und am 28. April 2020 freigegeben.
(Bild: Youtube / Mark Russinovich)
Bei den Sysinternals-Tools handelt es sich um eine Sammlung nützlicher Windows-Programme, die Microsoft-Mitarbeiter Mark Russinovich seit 1996 entwickelt und kostenlos bereitstellt. Jetzt wurde das Tool Sysmon aktualisiert.
Das macht Sysmon
Das Tool Sysmon (der Name steht für System Monitor) ist ein Windows Systemdienst samt Gerätetreiber, der nach der Installation resident, auch über Systemneustarts hinweg, auf dem System verbleibt. Sysmon dient dazu, die Systemaktivität zu überwachen und im Windows-Ereignisprotokoll zu protokollieren. Der Treiber liefert dazu detaillierte Informationen etwa über erstellte Prozesse, Netzwerkverbindungen und Änderungen der Erstellungszeit von Dateien.
Über die Windows-Ereignisanzeige können Administratoren später die von Sysmon erzeugten Einträge in den Ereignisprotokollen auswerten. Alternativ oder zusätzlich lassen sich die Ereignisprotokolle auch durch SIEM-Agenten (Security Information and Event Management) überwachen. Dies ist bei der Überwachung und der Analyse von bösartigen oder anomalen Aktivitäten hilfreich. So lässt sich eventuell herausfinden, über welche Prozesse und Tools Eindringlinge oder Malware auf Windows-Systemen und im Netzwerk unterwegs sind.
Das ist neu an Version 11.0
Auf der Sysinternals-Seite listet Russinovich die in der Version 11.0 eingeführten Neuerungen auf. Diese Version von Sysmon umfasst jetzt auch die Überwachung und Protokollierung/Archivierung von Operationen zum Löschen von Dateien. Die zur Löschung anstehenden Dateien kopiert das Tool zuvor zur späteren Analyse. Eine Heuristik soll auch entdecken, wenn Programme Dateien vor dem Löschen mit Nullen oder einem Zufallsmuster überschreiben.
Zudem besitzt die neue Sysmon-Version eine Option zur Deaktivierung des Reverse DNS Lookup und ersetzt leere Felder durch "-", um einen WEF-Fehler zu umgehen. In der neuen Version wurde auch ein Problem behoben, das dazu führte, dass einige Process-Access-Ereignisse abgebrochen wurden. Ferner werden Hauptdatenströme, die als in der Cloud gespeichert markiert sind, nicht mehr gehasht.
Download und weitere Informationen
Sysmon lässt sich auf dieser Webseite herunterladen. Dort findet sich auch eine umfangreichere Dokumentation der Befehle, um das Tool zu installieren. Ebenso ist dort das Format der XML-Dateien beschrieben, die man zur Konfiguration von Sysmon erstellen muss. (hos)
