Какие основные принципы работы Sysmon при обработке событий загрузки модулей?

Некоторые принципы работы Sysmon при обработке событий загрузки модулей:

• Регистрация загрузки драйверов или библиотек DLL. learn.microsoft.com 05t3.github.io Sysmon фиксирует загрузку с указанием цифровых подписей и значений хэш-сумм. www.securityvision.ru
• Использование GUID процесса. learn.microsoft.com 05t3.github.io Уникальное значение включается в события создания процессов, чтобы обеспечить корреляцию событий, даже если Windows повторно использует идентификаторы процессов. learn.microsoft.com 05t3.github.io
• Фильтрация правил. learn.microsoft.com Можно динамически включать или исключать определённые события. learn.microsoft.com
• Создание событий из начального процесса загрузки. learn.microsoft.com Это позволяет отслеживать действия, которые совершают даже сложные вредоносные программы в режиме ядра. learn.microsoft.com
• Использование механизма регистрации событий PsSetLoadImageNotifyRoutine. rootdse.org Он регистрирует обратный вызов для всех действий по загрузке изображений, которые выполняются разными функциями API, такими как ImageLoad(), NtMapViewOfSection(), LoadLibrary() и другие. rootdse.org