Sysmon v15.15: Diepere inzichten voor security-experts
In een tijd waarin cyberdreigingen steeds geraffineerder worden, is zichtbaarheid in systeemprocessen het krachtigste wapen van een systeembeheerder. Mark Russinovich en Thomas Garnier hebben met de nieuwste update van System Monitor (Sysmon), versie 15.15, de lat voor systeemmonitoring op Windows- en Linux-omgevingen wederom hoger gelegd.
Sysmon is geen standaard antivirusprogramma, maar een geavanceerde systeemservice en apparaatstuurprogramma dat zich diep in de kern van het besturingssysteem nestelt. Het doel? Het minutieus vastleggen van systeemactiviteiten in het Windows-gebeurtenislogboek (Event Log), waardoor security-experts afwijkend gedrag kunnen opsporen dat anders onopgemerkt zou blijven.
Diepgaande monitoring zonder onderbreking
Wat Sysmon uniek maakt, is de focus op forensische details. Het programma registreert procescreaties inclusief de volledige opdrachtregel van zowel de huidige als de bovenliggende processen. Dit is cruciaal voor het begrijpen van de 'aanvalsketen'. Bovendien biedt het bescherming tegen veelgebruikte technieken van aanvallers, zoals timestomping (het vervalsen van bestandsdata).
De kracht van correlatie
Dankzij het gebruik van unieke Process GUID's en Session GUID's kunnen gebeurtenissen aan elkaar worden gekoppeld, zelfs als Windows proces-ID's (PID's) hergebruikt. Dit stelt analisten in staat om een tijdlijn van een incident te reconstrueren die consistent blijft over verschillende sessies heen.
De belangrijkste mogelijkheden op een rij:
Hash-ondersteuning: Registreert proceshashes via SHA1, MD5, SHA256 of IMPHASH.
Netwerkbewaking: Logt TCP/UDP-verbindingen inclusief IP-adressen, poortnummers en hostnamen.
Driver- en DLL-tracking: Identificeert het laden van stuurprogramma's met hun bijbehorende handtekeningen.
RawAccessRead: Detecteert wanneer malware probeert data te stelen via directe schijftoegang, buiten de standaard bestandssystemen om.
Geavanceerde detectie: van WMI tot klembord
In de nieuwste versies is de scope van Sysmon uitgebreid naar moderne aanvalsmethoden. Zo monitort de tool WMI-gebeurtenissen (vaak misbruikt voor persistentie) en wijzigingen op het klembord, wat cruciaal is bij het opsporen van spyware of data-exfiltratie. Ook technieken zoals process hollowing, waarbij een legitiem proces wordt 'leeggehaald' en gevuld met schadelijke code, worden nu gedetecteerd onder Gebeurtenis-id 25 (ProcessTampering).
Configuratie en implementatie
Sysmon werkt op basis van een XML-configuratiebestand, waarmee beheerders zeer specifiek kunnen aangeven wat zij willen loggen. Dit voorkomt een 'hooiberg' aan data. Met eenvoudige commando's zoals sysmon64 -i config.xml wordt de service geïnstalleerd. Opvallend is dat voor de installatie of verwijdering geen herstart van het systeem vereist is, wat de drempel voor implementatie in productieomgevingen verlaagt.
| Commando | Beschrijving |
sysmon64 -i | Installeert de service en het stuurprogramma |
sysmon64 -c | Werkt de huidige configuratie bij |
sysmon64 -u | Verwijdert de service volledig van het systeem |
Conclusie
Sysmon v15.15 blijft de gouden standaard voor endpoint detection binnen het Sysinternals-pakket. Hoewel het zelf geen analyses uitvoert, levert het de onmisbare ruwe data die SIEM-oplossingen en SOC-teams nodig hebben om proactief te reageren op inbraken. Voor elke organisatie die serieus werk maakt van beveiliging, is de implementatie van Sysmon geen luxe, maar een noodzaak.
Meer over cybersecurity
Over Witold Kepinski
