Windows操作系统因本身的安全特点经常成为内网安全渗透的首选目标，如果终端上没有安装EDR产品，基于Windows本身的日志很难监控到入侵行为。近期蓝军采用加壳无文件的mimikatz获取密码，我方防护产品没有任何告警，此事也引发了笔者的一些思考，对于重点Windows服务器是否可以采用Sysmon进行深度监控并发现此类工具。本文介绍使用微软的SysInternals工具之一的Sysmon深度监控操作系统行为，并集中分析处理监控数据的方法。

0x01 方案概要

在Windows设备上安装Sysmon，通过Sysmon将监控到的行为日志记录到EventLog，之后通过NXlog或者Splunk Universal Forwarder转发到数据集中处理平台。
其实正常情况下通过Splunk UF做数据转发并配合Splunk进行分析是非常方便的，但考虑到BCP(涉A)可以使用NXlog读取EventLog并且转化为Syslog向SIEM系统发送。

工具

• Sysmon: https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
• Nxlog: https://nxlog.co/products/nxlog-community-edition/download
• Splunk add-on for Sysmon (可选，Splunk日志解析插件): https://github.com/splunk/TA-microsoft-sysmon
• Sysmon App for Splunk（可选，Splunk日志分析插件）: https://splunkbase.splunk.com/app/3544/

0x02 Sysmon

Sysmon可用来监控和记录系统活动，并记录到windows事件日志，包含如下事件：

Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sysmon service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 13: RegistryEvent (Value Set)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 255: Error
详情见https://technet.microsoft.com/en-us/sysinternals/sysmon

Sysmon会将记录的日志写入Windows EventLog，通过Event Viewer可以查看日志内容，具体路径为Application and Service Logs > Microsoft > Windows > Sysmon > Operational

安装

Sysmon 的安装非常简单，但需要使用管理员权限安装，并且需要加载配置文件，这里推荐使用大拿已经写好的sysmon配置文件，当然也可以自己修改。实验发现，如果采用默认的配置文件，能够抓到的信息非常少，但是如果不加过滤，将所有日志全部收过来的话量又惊人的大，ion-storm的配置文件可以看出来是精心配置过的，后面我们会用mimikatz来验证。
将下载好的Sysmon.exe与配置文件放到c:/monitor目录下，以管理员权限打开cmd并执行：

sysmon -accepteula -i config.conf

Sysmon会以服务形式启动，并且默认开机启动，日志可以在Event Viewer的Application and Service Logs > Microsoft > Windows > Sysmon > Operational查看

接下来我们先验证一下Sysmon的监控能力，为方便说明，这里假定我们已经把日志传送到Splunk了，具体步骤往下翻。

验证

下载一个mimikatz在目标机器上执行，观察日志输出：

dump本机密码：

privilege::debug
sekurlsa::logonpasswords

接下来我们在Splunk中搜索相关日志，可以看到Sysmon抓到了mimikatz产生的两种日志，eventcode=1创建进程，eventcode=10访问进程。有关mimikatz的IOC我们将在以后探讨。

0x03 Sysmon日志集中采集

因为Sysmon将日志写入到Windows的EventLog里面，收集EventLog的方法不下几十种，如果基于Splunk收集，可以参考我以前的文章《Splunk + Forwarder 收集分析Windows系统日志》

下文简要介绍一下NXlog的收集方法。NXlog是一个非常轻量的第三方的日志收集工具，社区版可以公开获取，下载以后使用管理员权限双击便可执行，NXlog默认会自动添加为系统服务，并且开机启动，非常方便。

在启动NXlog之前需要先修改配置文件，示例如下：

## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/docs/
 
## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.
 
#define ROOT C:\Program Files\nxlog
define ROOT C:\monitor\nxlog
 
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
 
<Extension kvp>
Module xm_kvp
</Extension>

<Extension xml>
Module  xm_xml
</Extension>
 
<Input in>
    Module im_msvistalog
    Query <QueryList> <Query Id="0"> <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select> </Query></QueryList>
</Input>
 
<Output out>
    Module      om_udp
    Host        10.231.132.79
    Port        1517
    Exec        to_xml();
</Output>
 
<Route 1>
    Path        in => out
</Route>