ابزار پیشرفته ساخت کانفیگ Sysmon

با استفاده از این ابزار می‌توانید فایل پیکربندی Sysmon را به صورت حرفه‌ای و با جزئیات کامل ایجاد کنید. گزینه‌های مورد نظر خود را در تب‌های مختلف انتخاب کرده و سپس فایل XML تولید شده را دانلود کنید.

رویدادهای Process

ثبت اطلاعات هنگامی که یک Process جدید ایجاد می‌شود
ثبت اطلاعات هنگامی که یک Process خاتمه می‌یابد
ثبت اطلاعات هنگامی که یک Process به Process دیگر دسترسی پیدا می‌کند
ثبت اطلاعات هنگامی که یک Thread از راه دور ایجاد می‌شود
ثبت اطلاعات هنگامی که یک Process دستکاری می‌شود

فیلترهای Process

Processهایی که باید ثبت شوند (جدا شده با کاما)
Processهایی که نباید ثبت شوند (جدا شده با کاما)

رویدادهای Network

ثبت اطلاعات هنگامی که یک اتصال Network ایجاد می‌شود
ثبت اطلاعات هنگامی که یک Query DNS انجام می‌شود

فیلترهای Network

IPها یا دامنه‌هایی که باید ثبت شوند (جدا شده با کاما)
IPها یا دامنه‌هایی که نباید ثبت شوند (جدا شده با کاما)
پورت‌هایی که باید ثبت شوند (جدا شده با کاما)
پورت‌هایی که نباید ثبت شوند (جدا شده با کاما)

رویدادهای File

ثبت زمان ایجاد فایل
ثبت اطلاعات هنگامی که یک فایل جدید ایجاد می‌شود
ثبت اطلاعات هنگامی که یک فایل حذف می‌شود
ثبت اطلاعات هنگامی که یک File Stream ایجاد می‌شود
ثبت اطلاعات هنگامی که حذف فایل شناسایی می‌شود

فیلترهای File

فایل‌هایی که باید ثبت شوند (جدا شده با کاما)
فایل‌هایی که نباید ثبت شوند (جدا شده با کاما)
دایرکتوری‌هایی که باید ثبت شوند (جدا شده با کاما)
دایرکتوری‌هایی که نباید ثبت شوند (جدا شده با کاما)

رویدادهای Registry

ثبت اطلاعات هنگامی که تغییراتی در Registry ایجاد می‌شود
ثبت اطلاعات هنگامی که یک کلید جدید در Registry ایجاد می‌شود
ثبت اطلاعات هنگامی که یک کلید از Registry حذف می‌شود
ثبت اطلاعات هنگامی که مقدار یک کلید Registry تغییر می‌کند

فیلترهای Registry

کلیدهای Registry که باید ثبت شوند (جدا شده با کاما)
کلیدهای Registry که نباید ثبت شوند (جدا شده با کاما)
مقادیر Registry که باید ثبت شوند (جدا شده با کاما)
مقادیر Registry که نباید ثبت شوند (جدا شده با کاما)

رویدادهای System

ثبت اطلاعات هنگامی که یک درایور بارگذاری می‌شود
ثبت اطلاعات هنگامی که یک Image بارگذاری می‌شود
ثبت اطلاعات هنگامی که دسترسی خام به دیسک انجام می‌شود
ثبت اطلاعات هنگامی که یک Named Pipe ایجاد یا متصل می‌شود
ثبت اطلاعات هنگامی که یک رویداد WMI رخ می‌دهد
ثبت اطلاعات هنگامی که داده‌ای در Clipboard کپی می‌شود

فیلترهای System

درایورهایی که باید ثبت شوند (جدا شده با کاما)
تصاویری که باید ثبت شوند (جدا شده با کاما)
رویدادهای WMI که باید ثبت شوند (جدا شده با کاما)

تکنیک‌های MITRE ATT&CK

شناسایی تکنیک‌های ایجاد Persistence در سیستم
شناسایی تکنیک‌های افزایش امتیاز
شناسایی تکنیک‌های دور زدن دفاعی
شناسایی تکنیک‌های حرکت جانبی در شبکه
شناسایی تکنیک‌های اجرای کد
شناسایی تکنیک‌های جمع‌آوری اطلاعات

تگ‌های MITRE ATT&CK

T1059 - Command-Line Interface T1064 - Scripting T1086 - PowerShell T1105 - Remote File Copy T1113 - Screen Capture T1134 - Access Token Manipulation T1140 - Deobfuscate/Decode Files T1194 - Spearphishing Attachment T1204 - User Execution T1218 - Signed Binary Proxy Execution T1220 - XSL Script Processing T1547 - Boot or Logon Autostart Execution

تنظیمات عمومی

الگوریتم Hash برای محاسبه هش فایل‌ها
بررسی وضعیت Revocation certificate
فعال کردن جستجوی DNS برای نام‌های میزبان
دایرکتوری ذخیره‌سازی فایل‌های آرشیو شده
نوع فشرده‌سازی برای فایل‌های آرشیو شده
حداکثر حجم فایل‌های Log بر حسب مگابایت

گزینه‌های پیشرفته

فعال کردن ثبت Stacktrace برای Processها
ثبت اطلاعات هنگامی که داده‌ای در Clipboard کپی می‌شود
ثبت اطلاعات هنگامی که یک Named Pipe ایجاد می‌شود
ثبت اطلاعات هنگامی که یک رویداد WMI رخ می‌دهد
ثبت اطلاعات هنگامی که یک Image بارگذاری می‌شود
ثبت اطلاعات هنگامی که یک Driver بارگذاری می‌شود

خروجی XML

// پس از انتخاب گزینه‌ها، فایل XML در اینجا نمایش داده خواهد شد
نصب برنامه