Какие возможности предоставляет Sysmon для мониторинга системы?

Sysmon — системная служба Windows и драйвер устройства, который после установки в системе остаётся резидентом во время перезагрузки системы для мониторинга и регистрации действий системы в журнал событий Windows. learn.microsoft.com

Некоторые возможности Sysmon для мониторинга системы:

• Регистрация событий создания процесса с командной строкой запуска и данными родительского процесса. www.securityvision.ru
• Фиксирование значения хэш-суммы исполняемого файла процесса с использованием алгоритмов SHA1, MD5, SHA256, IMPHASH. www.securityvision.ru
• Регистрация загрузки драйверов и DLL с указанием их цифровых подписей и значений хэш-сумм. www.securityvision.ru
• Регистрация прямого доступа (raw access) к дискам и томам. www.securityvision.ru
• Регистрация сетевых соединений с указанием имени процесса-инициатора, IP-адреса назначения, имени хоста и номера порта. www.securityvision.ru
• Выявление изменений в дате создания файлов. www.securityvision.ru
• Возможность заблокировать создание файлов форматов EXE, DLL, SYS в определённых каталогах, с определёнными хэш-суммами, создаваемые определёнными родительскими процессами. www.securityvision.ru
• Создание гибких XML-конфигураций с указанием объектов контроля для учёта всех особенностей среды функционирования. www.securityvision.ru

Sysmon не предоставляет анализ событий, которые он создаёт, и не пытается скрыть себя от злоумышленников. learn.microsoft.com