Sysmon — системная служба Windows и драйвер устройства, который после установки в системе остаётся резидентом во время перезагрузки системы для мониторинга и регистрации действий системы в журнал событий Windows. 1

Некоторые возможности Sysmon для мониторинга системы:

• Регистрация событий создания процесса с командной строкой запуска и данными родительского процесса. 4
• Фиксирование значения хэш-суммы исполняемого файла процесса с использованием алгоритмов SHA1, MD5, SHA256, IMPHASH. 4
• Регистрация загрузки драйверов и DLL с указанием их цифровых подписей и значений хэш-сумм. 4
• Регистрация прямого доступа (raw access) к дискам и томам. 4
• Регистрация сетевых соединений с указанием имени процесса-инициатора, IP-адреса назначения, имени хоста и номера порта. 4
• Выявление изменений в дате создания файлов. 4
• Возможность заблокировать создание файлов форматов EXE, DLL, SYS в определённых каталогах, с определёнными хэш-суммами, создаваемые определёнными родительскими процессами. 4
• Создание гибких XML-конфигураций с указанием объектов контроля для учёта всех особенностей среды функционирования. 4

Sysmon не предоставляет анализ событий, которые он создаёт, и не пытается скрыть себя от злоумышленников. 1