Sysmon 11.0 é lançado com monitoramento de exclusão de arquivos
A Microsoft lançou a nova versão do programa Sysinternals Sysmon (Monitoramento do Sistema) para o Sismeta Operacial Windows esta semana. Sysmon 11.0 é uma grande atualização da ferramenta; os usuários podem baixar a última versão do programa do site oficial Sysinternals ou executar a nova versão da ferramenta diretamente usando Sysinternals Live.
Sysmon é uma ferramenta especializada em monitoramento de sistemas para Windows 7 e superior que se instala como um serviço de sistema e driver de dispositivo. O aplicativo monitora eventos no sistema que são habitualmente usados por invasores, por exemplo, por ataques de malware, e os registra no log de eventos do Windows.
O programa monitora atividades importantes, como a criação de processos e sua terminação, conexões de rede, o carregamento de drivers, a criação de arquivos ou Eventos de Registro quando está ativo.
O Sysmon 11.0 adiciona um novo evento à lista de atividades monitoradas em dispositivos Windows. O evento 23, FileDelete, monitora toda a atividade de remoção de arquivos na máquina Windows; isto dá aos administradores opções para ver todos os arquivos que foram excluídos do sistema enquanto o Sysmon estava ativo.
Uma das razões para adicionar o monitoramento de exclusão de arquivos veio da própria experiência da Microsoft. A empresa observou que os invasores que entrassem com sucesso nas máquinas da empresa largariam ferramentas na máquina, as usariam e as apagariam quando terminassem. O novo monitoramento de exclusão de arquivos fornece aos analistas informações sobre as ferramentas que o invasor usou no sistema. Naturalmente, a atividade de exclusão de arquivos cobre outros tipos de exclusões também quando ela é usada.
A instalação do Sysmon é simples. Tudo o que precisa ser feito é baixar o arquivo da última versão do programa e extraí-lo no sistema de destino. Você pode verificar a configuração usando sysmon -s no prompt de comando, e instalar o serviço de monitoramento usando sysmon -accepteula -i; isto usa a configuração padrão. Para desinstalar o sysmon, execute sysmon -u a partir da linha de comando.
Os usuários avançados podem usar arquivos de configuração para personalizar o monitoramento, por exemplo, para ignorar determinada atividade no sistema. A nova versão do Sysmon vem com uma flag para desativar as consultas de DNS reverso para evitar que os servidores DNS sejam sobrecarregados por solicitações da ferramenta.
