SysmonTools：用于为Sysmon提供可视化UI和配置的工具套件

SysmonTools存储库包含以下内容：

1.Sysmon View：离线Sysmon日志可视化工具；

2.Sysmon Shell：Sysmon配置实用程序；

3.Sysmon Box：Sysmon和网络捕获日志实用程序；

背景介绍

1.Sysmon View：3.1版可以导入网络跟踪捕获并将其与Sysmon网络事件相关联；

2.Sysmon Box：用于捕获Sysmon和网络事件（v1.0）的新命令行实用程序；

3.Sysmon Shell：添加了将配置文件升级到V9.0的命令；

Sysmon View

Sysmon View通过使用现有事件数据（例如可执行文件名称，会话GUID，事件创建时间等）将各种Sysmon事件进行逻辑分组和关联在一起，从而帮助跟踪和可视化Sysmon日志，然后该工具重新排列该数据以进行显示进入多个视图。

首先，使用内置的WEVTUtil将Sysmon事件导出到XML文件，此文件稍后将由Sysmon View导入：

WEVTUtil query-events "Microsoft-Windows-Sysmon/Operational" /format:xml /e:sysmonview > eventlog.xml

导出后，运行Sysmon View并导入生成的文件“eventlog.xml”（不过你也可以自定义名称），请注意，这可能需要一些时间，具体取决于日志文件的大小。该文件只需要导入一次，随后的Sysmon View运行不需要再次导入数据，只需使用文件菜单文件->加载现有数据即可再次加载以前导入的数据。

所有数据都将导入到名为SysmonViewDB的SQLite数据库文件中，该文件与Sysmon View可执行文件位于同一位置。如果需要，可以与其他人共享此文件，只需将该文件与Sysmon View放在同一位置，然后使用命令文件->加载现有数据即可。

每次导入新的XML文件时，数据库文件都将删除并重新创建。要保留以前导入的任何数据，请将数据库文件复制到另一个位置或简单地重命名。

该数据库也可以直接在自己的应用程序中使用，该数据库包含哈希，可执行文件、IP地址、地理映射的摘要，并且所有这些文件都通过文件名或会话（可执行GUID）进行逻辑链接。

你可以使用任何SQLite管理软件直接查询数据库文件，而无需使用Sysmon View，例如，生成报告或分析数据。

Sysmon View

Sysmon View仅有助于重点关注“运行会话”的摘要，例如，分析人员可以从可执行文件名称（例如cmd.exe）或事件类型（例如Network event）开始，然后可以进行进一步过滤。例如，应用程序查找源自相同二进制文件但来自不同位置的运行会话。该视图利用进程GUID过滤每个会话“运行”的事件，选择任何正在运行的会话（从GUID列表中）将在简单的类似于数据流的视图中显示所有其他相关（相关）事件，并使用时间排序事件。注意：如果要从Elasticsearch实例而不是每台计算机导入数据，则可以为每台计算机的每个可执行文件安排事件。

只需双击视图中的任何事件即可访问Sysmon事件详细信息，例如，上一个截屏显示了进程创建事件的详细信息（事件ID 1），该工具还可以根据需要与VirusTotal集成，以进行进一步的处理哈希和IP查找（需要API密钥注册）。

map view：在事件导入过程中，有一个用于地理定位IP地址的选项，如果设置了该选项，则Sysmon View将尝试使用https://ipstack.com/服务对网络目标进行地理映射。

在map view中，通过使用网络事件作为起点很容易在相关（相关）事件之间导航，该工具也可以使用正在运行的进程会话GUID来实现此目的。要浏览相关事件，请使用会话GUID的超链接，将在一个包含所有相关会话事件的新窗口中显示一个类似于流程视图的新视图：

所有事件视图（All Events View）还可以用于对所有Sysmon收集的事件数据进行完整搜索，它还有助于查看与其他事件不相关的事件，例如“ Driver Loaded”事件类型。通过单击FID链接，除事件详细信息外，仍使用流程GUID提供相关事件之间的导航

此外，“所有事件”视图支持按计算机名称，事件类型或GUID进行数据透视(分组)的安排，如下所示：

也可以使用多个分组级别：

Sysmon Shell

Sysmon Shell可以通过简单的GUI界面帮助编写和应用Sysmon XML配置。

简而言之，除了导出Sysmon事件日志外，Sysmon Shell还可以用于探索Sysmon可用的各种配置选项，轻松地应用和更新XML配置：

1.Sysmon Shell可以加载Sysmon XML配置文件：当前版本支持所有Sysmon模式。该工具不会直接从注册表中直接加载任何配置，而仅从XML文件中加载。

2.它可以将最终的XML导出/保存到文件中；

3.它可以通过直接调用Sysmon.exe -c命令（在安装Sysmon的同一文件夹中创建一个临时XML文件）直接应用生成的XML配置文件，因此，如果使用此功能，则Sysmon Shell将需要提升的特权（此需求是从Sysmon进程本身继承的），应用配置的输出将显示在预览窗格中（这是Sysmon生成的输出）

4.在保存到预览窗格之前，可以预览XML配置。

5.最后一个选项卡（标记为“Logs Export”）可以方便地将Sysmon事件日志快速导出到XML，以后可以与“ Sysmon View”一起使用以进行事件分析。注意：导出具有三个选项：

5.1仅导出；

5.2导出并清除Sysmon事件日志；

5.3导出、备份evtx文件并清除事件日志；

该实用程序具有从Sysmon Sysinternals主页中获取的所有事件类型的描述。

Sysmon Shell捆绑了由其他安全专家创建的许多Sysmon配置模板

它会警告你有关“包含/排除”冲突或尝试验证规则本身，但是，一旦应用了配置，预览窗格将显示在应用配置时从Sysmon.exe捕获的输出（ Sysmon -c命令），从中可以识别错误。

Sysmon Box

Sysmon Box是一个小型实用程序，可以帮助构建捕获的Sysmon和网络流量的数据库。

要运行Sysmon Box，请使用以下命令（Sysmon需要与tshark一起启动并运行）：

位于Wi-Fi中的SysmonBox情况

然后，该工具将执行以下操作：

1.开始捕获流量（在后台使用tshark，这就是为什么必须指定捕获接口的原因），完成后，按CTRL + C结束会话；

2.然后，Sysmon Box将停止流量捕获，将所有捕获的数据包转储到文件中，并使用EVT实用程序导出在会话的开始和结束时间之间记录的Sysmon日志；

3.使用从Sysmon导入的日志和捕获的流量构建Sysmon View数据库文件（现有备份），你要做的就是从同一文件夹中运行Sysmon View或将数据库文件（SysmonViewDB）与Sysmon View放在同一文件夹中（保持数据包在同一位置被捕获）

其他资源

1.你可以在https://nosecurecode.com/上了解有关Sysmon View＆Sysmon Shell的更多信息。

2.这是有关Sysmon和Sysmon View的详细概述。

软件协议

Copyright 2018 Nader Shallabi. All rights reserved.

SYSMON TOOLS CAN BE COPIED AND/OR DISTRIBUTED WITHOUT ANY EXPRESS PERMISSION OF NADER SHALLABI.

THIS SOFTWARE IS PROVIDED BY NADER SHALLABI ''AS IS'' AND ANY EXPRESS OR IMPLIED
WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL NADER SHALLABI
OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The views and conclusions contained in the software and documentation are those of the authors and
should not be interpreted as representing official policies, either expressed or implied, of Nader Shallabi