Le nouvel outil de SysInternals (by Mark Russinovich – @markrussinovich) permet de loguer toute les activités de création de processus des les phases de démarrage de la machine.
Il permet également de loguer les connexions réseau (IP source et destination, ports, etc..) afin de savoir ce qu’il se passe autant en local qu’au niveau des communications.
Il ne propose pas d’analyse des logs, il ne fait que tracer et loguer l’activité du PC en inscrivant dans son journal d‘évènements tout ce qu’il voit passer. il s’installe et se parametre en ligne de commande (avec élévation de privilèges).
Installation : sysmon.exe –i –accepteula
Activation optionnelle des logs de connections réseau une fois sysmon installé: sysmon –c –n (-c pour mettre à jour la config, –n pour Network)
et ensuite direction le journal d’évènements: sous “Journeaux des applications et des services/Microsoft/Windows/Sysmon”
Les id logués sont identifiables selon le schéma suivant:
- 1 = Création d’un processus
- 2= Date de création de fichier changée
- 3= Connexion réseau détectée
exemple de processus exécuté silencieusement (1)
exemple de date de création de fichier modifiée (2):
exemple de connexion établie (3):
Cela peut être très utile pour du diagnostique et/ou en cas de soupçon de malware…
Bon Monitoring,
PierrE.
redkaffe 