Sysinternal-Tool hilft dabei den Überblick zu Servern zu behalten Computer mit Microsoft Sysmon überwachen

Autor / Redakteur: Thomas Joos / Thomas Joos

Mit dem kostenlosen Tool Sysinternals Sysmon von Microsoft können Prozesse, Dienste und Netzwerkverbindungen auf Windows-Servern überwacht werden. Das Tool kann auch komplexere Aktivitäten auf Windows-Computern überwachen. Die Verwaltung kann auch in der Befehlszeile erfolgen.

Anbieter zum Thema

Sicherheit in Windows Server
Sicherheit in Windows Server
(Sicherheit in Windows Server)

Microsoft Sysmon ist ein kostenloses Sysinternals-Tool von Microsoft, das dabei hilft Windows-Server zu überwachen. Das Befehlszeilentool kann zur Überwachung einen Systemdienst installieren, über den Sysmon Daten auslesen kann.  Außerdem kann das Tool auch Ereignisse in der Windows-Ereignisanzeige erstellen. Folgende Bereiche lassen sich in Windows überwachen. Sysmon umfasst die folgenden Funktionen:

  • Protokolliert die Prozesserstellung mit vollständiger Befehlszeile sowohl für den aktuellen als auch für den übergeordneten Prozess.
  • Zeichnet den Hash von Prozessabbilddateien mit SHA1 (Standard), MD5, SHA256 oder IMPHASH auf.
  • Es können mehrere Hashes gleichzeitig verwendet werden.
  • Schließt eine Prozess-GUID in Prozesserstellungsereignisse ein, um eine Korrelation von Ereignissen zu ermöglichen, auch wenn Windows Prozess-IDs wiederverwendet.
  • Beinhaltet eine Sitzungs-GUID in jedem Ereignis, um die Korrelation von Ereignissen auf derselben Anmeldesitzung zu ermöglichen.
  • Protokolliert das Laden von Treibern oder DLLs mit deren Signaturen und Hashes.
  • Protokolliert Öffnungen für rohen Lesezugriff auf Festplatten und Volumes.
  • Protokolliert optional Netzwerkverbindungen, einschließlich des Quellprozesses jeder Verbindung, IP-Adressen, Portnummern, Hostnamen und Portnamen.
  • Erkennt Änderungen der Dateierstellungszeit
  • Generiert Ereignisse zu einem frühen Zeitpunkt des Boot-Prozesses, um Aktivitäten zu erfassen, die selbst von ausgeklügelter Kernel-Mode-Malware durchgeführt werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung