Process Monitor é uma ferramenta avançada de monitoramento para Windows que mostra sistema de arquivos em tempo real, registro e atividade de processo / thread. Ele combina os recursos de dois utilitários herdados da Sysinternals, Filemon e Regmon , e adiciona uma extensa lista de aprimoramentos, incluindo filtragem rica e não destrutiva, propriedades abrangentes de eventos, como IDs de sessão e nomes de usuário, informações confiáveis do processo, informações de processo confiáveis, pilhas de threads completas com suporte integrado a símbolos para cada operação, registro simultâneo em um arquivo e muito mais. Seus recursos exclusivamente poderosos farão do Process Monitor um utilitário essencial no seu kit de ferramentas para solução de problemas e caça-malware do sistema.
Visão geral dos recursos do Monitor de processo
O Process Monitor inclui recursos avançados de monitoramento e filtragem, incluindo:
Mais dados capturados para os parâmetros de entrada e saída da operação
Filtros não destrutivos permitem que você defina filtros sem perder dados
A captura de pilhas de encadeamentos para cada operação possibilita, em muitos casos, identificar a causa raiz de uma operação
Captura confiável de detalhes do processo, incluindo caminho da imagem, linha de comando, ID do usuário e da sessão
Colunas configuráveis e móveis para qualquer propriedade de evento
Os filtros podem ser definidos para qualquer campo de dados, incluindo campos não configurados como colunas
A arquitetura avançada de log é escalada para dezenas de milhões de eventos capturados e gigabytes de dados de log
A ferramenta de árvore de processos mostra o relacionamento de todos os processos referenciados em um rastreio
O formato de log nativo preserva todos os dados para carregamento em uma instância diferente do Process Monitor
Dica de ferramenta de processo para fácil visualização das informações da imagem do processo
A dica de ferramenta Detalhes permite acesso conveniente a dados formatados que não cabem na coluna
Pesquisa cancelável
Registro de tempo de inicialização de todas as operações
A melhor maneira de se familiarizar com os recursos do Process Monitor é ler o arquivo de ajuda e, em seguida, visitar cada um dos itens e opções de menu em um sistema ativo.
SYSMON
O System Monitor ( Sysmon ) é um driver de serviço e dispositivo do sistema Windows que, uma vez instalado em um sistema, permanece residente nas reinicializações do sistema para monitorar e registrar a atividade do sistema no log de eventos do Windows. Ele fornece informações detalhadas sobre criações de processos, conexões de rede e alterações no tempo de criação do arquivo. Ao coletar os eventos que ele gera usando os agentes Windows Event Collection ou SIEM e, posteriormente, analisá-los, você pode identificar atividades maliciosas ou anômalas e entender como os invasores e malware operam na sua rede.
Observe que o Sysmon não fornece análise dos eventos que gera, nem tenta se proteger ou se esconder dos invasores.
Visão geral dos recursos do Sysmon
Sysmon inclui os seguintes recursos:
Registra a criação do processo com linha de comando completa para os processos atual e pai.
Registra o hash dos arquivos de imagem do processo usando SHA1 (o padrão), MD5, SHA256 ou IMPHASH.
Vários hashes podem ser usados ao mesmo tempo.
Inclui um GUID de processo em eventos de criação para permitir a correlação de eventos, mesmo quando o Windows reutiliza IDs de processo.
Inclua um GUID da sessão em cada evento para permitir a correlação de eventos na mesma sessão de logon.
Registra o carregamento de drivers ou DLLs com suas assinaturas e hashes.
Os logs são abertos para acesso bruto de leitura de discos e volumes
Opcionalmente, registra conexões de rede, incluindo o processo de origem de cada conexão, endereços IP, números de porta, nomes de host e nomes de porta.
Detecta alterações no tempo de criação do arquivo para entender quando um arquivo foi realmente criado. A modificação do registro de data e hora de criação de arquivo é uma técnica comumente usada por malware para cobrir suas faixas.
Recarregue automaticamente a configuração, se alterada no registro.
Filtragem de regras para incluir ou excluir determinados eventos dinamicamente.
Gera eventos desde o início do processo de inicialização para capturar atividades feitas por malware sofisticado no modo kernel.
LINKS
https://docs.microsoft.com/pt-br/sysinternals/downloads/sysmon
https://docs.microsoft.com/pt-br/sysinternals/downloads/procmon
Diário de Nilton Felipe 