Try   HackMD

Configurando Sysmon no Windows

Sysmon é uma ferramenta de monitoramento de sistema avançada da Microsoft que fornece recursos de monitoramento de atividades em tempo real no sistema operacional Windows. Sysmon é um utilitário de linha de comando que é executado como um serviço do Windows e coleta informações detalhadas sobre atividades do sistema, como eventos de criação de processo, registro, rede, drivers e muito mais. Esses eventos são registrados no log do Windows Event Viewer e podem ser analisados por outras ferramentas de segurança ou SIEMs para detectar atividades maliciosas.

Passo 1 : Download do Sysmon:

Download Sysmon

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Passo 2 : Extraia o Sysmon na raiz c:

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Passo 3 : Fazendo o download do arquivo de configuração em :

Você poderá criar seu arquivo de configuração, ou se preferir, existem repositórios com arquivos já construidos conforme exibido abaixo, para este exemplo, utilizei o sysmon-modular.

https://github.com/olafhartong/sysmon-modular

https://github.com/SwiftOnSecurity/sysmon-config

Passo 4 : Copie o arquivo sysmonconfig.xml para dentro da pasta do sysmon que está no diretório C: :

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Passo 5 : Abra o powershell como admin e execute o seguinte comando:

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Passo 6 : Abrindo o Sysmon no Event Viewer Windows:

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Passo 7 : Verificando processo criado:

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Last changed by 
blueteamoperation
0
822

Read more

HTTP Logs Viewer

A perícia forense de redes é uma área da computação forense voltada para a investigação de incidentes de segurança em redes de computadores. Seu objetivo é identificar, coletar, analisar e preservar evidências digitais relacionadas a acessos não autorizados, ataques cibernéticos, vazamento de dados e outras atividades suspeitas. Um dos aspectos essenciais dessa perícia é a análise de logs, que permite rastrear atividades e identificar padrões suspeitos dentro de sistemas e redes.

Mar 20, 2025
Criando um Hidden Service

Um Hidden Service (também conhecido como Serviço Oculto) é um conceito relacionado ao protocolo de rede Tor. O Tor é uma rede descentralizada que permite navegar na Internet de forma anônima e acessar conteúdos de forma privada, ocultando o endereço IP e a localização do usuário.

Jul 24, 2023
Investigando Ataques Port Scan

A análise de pacotes é uma técnica utilizada na investigação de tipos de port scan em uma rede. Ela envolve a captura e a análise dos pacotes de dados que estão sendo transmitidos na rede para identificar possíveis atividades maliciosas, incluindo varreduras de portas.

May 4, 2023
Malware Zeus - Análise de Memória Volatility

O Zeus também conhecido como Zbot, é um tipo de malware projetado para roubar informações confidenciais de computadores infectados. Ele geralmente é distribuído por meio de emails de phishing e sites maliciosos e é capaz de se instalar silenciosamente no computador da vítima. Uma vez instalado, o Zeus pode capturar informações sensíveis, como senhas bancárias, informações de cartão de crédito e outras credenciais de login. Ele também pode se espalhar para outros computadores na mesma rede e executar comandos remotos, tornando-se parte de uma botnet. O Zeus já foi considerado um dos malwares mais perigosos e difíceis de detectar, pois é constantemente atualizado pelos desenvolvedores para evitar a detecção pelos programas antivírus. É importante manter o software antivírus e o sistema operacional atualizados e evitar clicar em links ou baixar arquivos de fontes não confiáveis para se proteger contra o Zeus e outros tipos de malware. Análisando memória RAM infectada pelo malware Zeus: Determinando perfil da memória: ┌─[mac@iMac-de-Mac] - [~/Desktop] - [2023-04-16 05:03:45]

Apr 18, 2023
Read more from blueteamoperation
Published on HackMD