Hablamos de una herramienta avanzada de monitorización de eventos del sistema, desarrollada por Microsoft como parte del paquete Sysinternals Suite. Su objetivo principal es ayudarnos como profesionales de la seguridad a capturar y analizar eventos detallados del sistema operativo, como la creación de procesos, conexiones de red, cambios en archivos y otras actividades potencialmente sospechosas, para identificar amenazas de seguridad.
Sysmon genera una cantidad significativa de datos. Por ello, los eventos suelen integrarse con herramientas de análisis de seguridad como SIEM (Security Information and Event Management).
¿Qué hace Sysmon?
Sysmon se configura como un servicio del sistema operativo y añade un controlador en el kernel. Una vez configurado, funciona como un servicio en segundo plano, recopila información sobre eventos clave del sistema y los registra en el log de eventos de Windows. Actúa como un intermediario entre el sistema operativo y el registro de eventos, y desde el controlador del kernel monitorea directamente las interacciones del sistema operativo a bajo nivel, como llamadas al kernel, creación de procesos y modificaciones del registro.
Actúa como un «gran hermano» del sistema operativo, proporcionando una visibilidad detallada de lo que ocurre a nivel interno. Su fuerza radica en la capacidad de personalización y en la integración con herramientas de seguridad para proteger los sistemas contra amenazas avanzadas. Aunque requiere configuración y análisis especializados, es una herramienta esencial en entornos críticos de seguridad.
¿Qué eventos puede capturar?
Entre los eventos más destacados que puede registrar están:
Creación de procesos: Incluye detalles como el ejecutable utilizado, argumentos del proceso y el usuario que lo ejecutó.
Conexiones de red: Rastrea conexiones TCP/UDP, mostrando direcciones IP y puertos.
Cambios en archivos: Monitorea modificaciones en archivos o directorios específicos.
Cargas de DLLs: Registra cuándo se cargan librerías dinámicas (DLLs) en procesos.
Modificaciones del registro: Detecta cambios en claves del registro específicas.
Eventos relacionados con imágenes: Detecta cargas de imágenes sospechosas en memoria.
Los casos de uso más comunes suelen ser la detección de Malware y la supervisión de redes, al final, todo lo que engloba al análisis forense para ayudar a entender la cadena de eventos e incidentes del sistema para monitorizar y comprender posibles amenazas avanzadas persistente (APTs).
Sysmon debe ser instalado manualmente desde el paquete de Sysinternals. Se configura mediante un archivo XML que define qué eventos se deben monitorear y cómo. Este archivo puede incluir filtros avanzados para incluir o excluir eventos según criterios como nombres de procesos, extensiones de archivo, etc.
Hay que tener en cuenta que esta herramienta genera una cantidad de datos bastante grande y deberíamos configurarla para que nos proporcione realmente los datos que necesitamos, aparte de contar con un conocimiento avanzado para analizar estos eventos correctamente. Por ejemplo, puedes incluir filtros para rastrear solo los procesos de usuarios específicos o conexiones hacia ciertas direcciones IP.
Los datos registrados se pueden analizar directamente o mediante herramientas SIEM (Security Information and Event Management), como Splunk, Elastic Stack, o Microsoft Sentinel, para correlacionar eventos y detectar comportamientos sospechosos.
“Tener una visión global de todo lo que ocurre en nuestro sistema es crucial para poder actuar frente ataques sofisticados”
Iker Berbel
Consultor IT
