Parlem d'una eina avançada de monitorització d'esdeveniments del sistema, desenvolupada per Microsoft com a part del paquet Sysinternals Suite. El seu objectiu principal és ajudar-nos com a professionals de la seguretat a capturar i analitzar esdeveniments detallats del sistema operatiu, com la creació de processos, connexions de xarxa, canvis en fitxers i altres activitats potencialment sospitoses, per identificar amenaces de seguretat.
Sysmon genera una quantitat significativa de dades. Per això, els esdeveniments solen integrar-se amb eines d'anàlisi de seguretat com ara SIEM (Security Information and Event Management).
Què fa Sysmon?
Sysmon es configura com un servei del sistema operatiu i afegeix un controlador al nucli. Un cop configurat, funciona com un servei en segon pla, recopila informació sobre esdeveniments clau del sistema i els registra al log d'esdeveniments de Windows. Actua com un intermediari entre el sistema operatiu i el registre d'esdeveniments, i des del controlador del nucli monitoritza directament les interaccions del sistema operatiu a baix nivell, com ara trucades al nucli, creació de processos i modificacions del registre.
Actua com un «gran germà» del sistema operatiu, proporcionant una visibilitat detallada del que passa a nivell intern. La seva força rau en la capacitat de personalització i en la integració amb eines de seguretat per protegir els sistemes contra amenaces avançades. Tot i que requereix configuració i anàlisis especialitzades, és una eina essencial en entorns crítics de seguretat.
Quins esdeveniments pot capturar?
Entre els esdeveniments més destacats que podeu registrar estan:
Creació de processos: Inclou detalls com lexecutable utilitzat, arguments del procés i lusuari que el va executar.
Connexions de xarxa: Rastreja connexions TCP/UDP, mostrant adreces IP i ports.
Canvis en arxius: Monitoritza modificacions en fitxers o directoris específics.
Càrregues de DLLs: Registra quan es carreguen llibreries dinàmiques (DLLs) en processos.
Modificacions del registre: Detecta canvis en claus del registre específiques.
Esdeveniments relacionats amb imatges: Detecta càrregues d'imatges sospitoses en memòria.
Els casos d'ús més comuns solen ser la detecció de Malware i la supervisió de xarxes, al final, tot allò que engloba l'anàlisi forense per ajudar a entendre la cadena d'esdeveniments i incidents del sistema per monitoritzar i comprendre possibles amenaces avançades persistent (APTs ).
Sysmon ha de ser instal·lat manualment des del paquet de Sysinternals. Es configura mitjançant un fitxer XML que defineix quins esdeveniments s'han de monitoritzar i com. Aquest fitxer pot incloure filtres avançats per incloure o excloure esdeveniments segons criteris com ara noms de processos, extensions de fitxer, etc.
Cal tenir en compte que aquesta eina genera una quantitat de dades força gran i hauríem de configurar-la perquè ens proporcioni realment les dades que necessitem, a banda de comptar amb un coneixement avançat per analitzar aquests esdeveniments correctament. Per exemple, podeu incloure filtres per rastrejar només els processos d'usuaris específics o connexions cap a certes adreces IP.
Les dades registrades es poden analitzar directament o mitjançant eines SIEM (Security Information and Event Management), com ara Splunk, Elastic Stack, o Microsoft Sentinel, per correlacionar esdeveniments i detectar comportaments sospitosos.
“Tenir una visió global de tot el que passa al nostre sistema és crucial per poder actuar davant atacs sofisticats”
Iker Berbel
Consultor IT
