Microsoft-Mitarbeiter Mark Russinovich entwickelt seit 1996 eine
Sammlung nützlicher Windows-Programme, die Sysinternals-Tools,
und stellt diese kostenfrei bereit. Nun wurde eines der Tools mit
dem Namen Sysmon (System Monitor) aktualisiert.
Bei dem Tool Sysmon handelt es sich um ein Windows Systemdienst
inklusive Gerätetreiber, der nach der Installation auch über
Systemneustarts hinweg auf dem System verbleibt. Es soll die Systemaktivität
überwachen und im Windows-Ereignisprotokoll protokollieren.
Detaillierte Informationen wie zum Beispiel über erstellte
Prozesse, Netzwerkverbindungen und Änderungen der Erstellungszeit
von Dateien liefert der Treiber dazu.
Administratoren können über die Windows-Ereignisanzeige
später die von Sysmon erzeugten Einträge in den Ereignisprotokollen
auswerten. Zusätzlich lassen sich die Ereignisprotokolle auch
durch SIEM-Agenten (Security
Information and Event Management) überwachen. Bei der Überwachung
und der Analyse von bösartigen oder anomalen Aktivitäten
ist dies hilfreich. Über welche Prozesse und Tools Eindringlinge
oder Malware auf Windows-Systemen und im Netzwerk unterwegs sind,
lässt sich dann gegebenenfalls herausfinden.
Russinovich listet auf der Sysinternals-Seite
die in der Version 11.0 eingeführten Neuerungen auf. Neu ist
beispielsweise die Überwachung und Protokollierung/Archivierung
von Operationen zum Löschen von Dateien. Das Tool kopiert die
zur Löschung anstehenden Dateien zuvor zur späteren Analyse.
Zudem soll eine Heuristik entdecken, wenn Programme Dateien vor
dem Löschen mit Nullen oder einem Zufallsmuster überschreiben.
Auf der Sysinternals-Download-Seite
lässt sich neben dem Tool Sysmon auch eine umfangreichere Dokumentation
der Befehle, um das Tool zu installieren, herunterladen. Zudem ist
das Format der XML-Dateien beschrieben, die zur Konfiguration von
Sysmon erstellt werden müssen.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|