Microsoft lanzó una nueva versión del programa Sysinternals Sysmon (Monitoreo del sistema) para los dispositivos de Microsoft Windows esta semana. Sysmon 11.0 es una importante actualización de la aplicación; los usuarios puede descargar la última versión del programa desde el sitio web oficial de Sysinternals o lanzar la nueva versión de la herramienta directamente usando Sysinternals Live.
Sysmon es una herramienta especializada de monitorización de sistemas para Windows 7 y posteriores que se instala como un servicio del sistema y un controlador de dispositivos. La aplicación monitoriza los eventos del sistema que suelen utilizar los atacantes, por ejemplo, los ataques de malware, y los registra en el registro de eventos de Windows.
El programa monitoriza actividades importantes como la creación de procesos y su terminación, las conexiones de red, la carga de controladores, la creación de archivos o los eventos de registro cuando está activo.
Sysmon 11.0 añade un nuevo evento a la lista de actividad monitorizada en los dispositivos de Windows. El evento 23, FileDelete, monitoriza toda la actividad de eliminación de archivos en el equipo de Windows; esto da a los administradores opciones para ver todos los archivos que se eliminaron en un sistema mientras Sysmon estaba activo.
Una de las razones para añadir el control de eliminación de archivos fue la propia experiencia de Microsoft. La compañía observó que los atacantes que se metían con éxito en las máquinas de la compañía dejaban caer herramientas en la máquina, las usaban y las eliminaban cuando terminaban. El nuevo control de eliminación de archivos proporciona a los analistas información sobre las herramientas que el atacante utilizó en el sistema. Naturalmente, la actividad de eliminación de archivos abarca también otros tipos de eliminaciones cuando se utiliza.
Aquí hay un video de Mark Russinovich que ofrece detalles adicionales sobre la actualización:
La instalación de Sysmon es sencilla. Todo lo que hay que hacer es descargar la última versión de archivo del programa y extraerlo en el sistema de destino. Puede comprobar la configuración utilizando sysmon -s usando el símbolo del sistema, e instalar el servicio de monitoreo usando sysmon -acepteula -iEsto utiliza la configuración por defecto. Para desinstalar sysmon, ejecute sysmon -u desde la línea de mando.
Los usuarios avanzados pueden utilizar los archivos de configuración para personalizar la vigilancia, por ejemplo, para ignorar cierta actividad en el sistema. La nueva versión de Sysmon viene con un indicador para desactivar las búsquedas inversas de DNS para evitar que los servidores de DNS se sobrecarguen por las peticiones de la herramienta.
Ahora usted: ¿utiliza las herramientas de Sysinternals?