Microsoft-Mitarbeiter Mark Russinovich entwickelt seit 1996 eine Sammlung nützlicher Windows-Programme, die Sysinternals-Tools, und stellt diese kostenfrei bereit. Nun wurde eines der Tools mit dem Namen Sysmon (System Monitor) aktualisiert.

Bei dem Tool Sysmon handelt es sich um ein Windows Systemdienst inklusive Gerätetreiber, der nach der Installation auch über Systemneustarts hinweg auf dem System verbleibt. Es soll die Systemaktivität überwachen und im Windows-Ereignisprotokoll protokollieren. Detaillierte Informationen wie zum Beispiel über erstellte Prozesse, Netzwerkverbindungen und Änderungen der Erstellungszeit von Dateien liefert der Treiber dazu.

Administratoren können über die Windows-Ereignisanzeige später die von Sysmon erzeugten Einträge in den Ereignisprotokollen auswerten. Zusätzlich lassen sich die Ereignisprotokolle auch durch SIEM-Agenten (Security Information and Event Management) überwachen. Bei der Überwachung und der Analyse von bösartigen oder anomalen Aktivitäten ist dies hilfreich. Über welche Prozesse und Tools Eindringlinge oder Malware auf Windows-Systemen und im Netzwerk unterwegs sind, lässt sich dann gegebenenfalls herausfinden.

Russinovich listet auf der Sysinternals-Seite die in der Version 11.0 eingeführten Neuerungen auf. Neu ist beispielsweise die Überwachung und Protokollierung/Archivierung von Operationen zum Löschen von Dateien. Das Tool kopiert die zur Löschung anstehenden Dateien zuvor zur späteren Analyse. Zudem soll eine Heuristik entdecken, wenn Programme Dateien vor dem Löschen mit Nullen oder einem Zufallsmuster überschreiben.

Auf der Sysinternals-Download-Seite lässt sich neben dem Tool Sysmon auch eine umfangreichere Dokumentation der Befehle, um das Tool zu installieren, herunterladen. Zudem ist das Format der XML-Dateien beschrieben, die zur Konfiguration von Sysmon erstellt werden müssen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE