Sysmon adalah aplikasi resmi Microsoft untuk memantau status dan peristiwa sistem. Dengan aplikasi ini, Anda dapat mengontrol secara rinci peristiwa sistem, seperti pembuatan proses, koneksi jaringan, pembuatan dan penghapusan file, dan lain-lain.
Program ini diinstal melalui command line. Untuk menginstalnya, Anda perlu membuka CMD.exe sebagai administrator di jalur tempat Anda menginstal program. Setelah itu, masukkan perintah sysmon -i untuk menginstalnya.
Setelah selesai, buka Windows Event Viewer. Kemudian pergi ke jalur Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Di sana, Anda dapat melihat semua peristiwa yang terjadi pada sistem. Peristiwa proses yang dapat dicatat oleh program adalah sebagai berikut:
1 ProcessCreate - Proses pembuatan
2 FileCreateTime - Waktu pembuatan file
3 NetworkConnect - Koneksi jaringan terdeteksi
4 Status layanan yang berubah dari Sysmon (tidak dapat difilter)
5 ProcessTerminate - Proses dihentikan
6 DriverLoad - Driver dimuat
7 ImageLoad - Gambar diunggah
8 CreateRemoteThread - CreateRemoteThread terdeteksi
9 RawAccessRead - RawAccessRead terdeteksi
10 ProcessAccess - Proses diakses
11 FileCreate - File dibuat
12 RegistryEvent - Objek registri ditambahkan atau dihapus
13 RegistryEvent - Nilai registri diset
14 RegistryEvent - Nama objek registri diubah
15 FileCreateStreamHash - Stream file tercipta
16 Pengaturan Sysmon yang berubah (tidak dapat difilter)
17 PipeEvent - Pipa bernama dibuat
18 PipeEvent - Terhubung ke pipa bernama
19 WmiEvent - Filter WMI
20 WmiEvent - Konsumen WMI
21 WmiEvent - Filter konsumen WMI
22 DNSQuery - DNS ditanyakan
23 FileDelete - Arsip file yang dihapus
24 ClipboardChange - Konten baru ditambahkan ke clipboard
25 ProcessTampering - Gambar proses berubah
26 FileDeleteDetected - File tercatat yang dihapus
Komentar
Belum ada opini mengenai Sysmon. Jadilah yang pertama! Komentar