SYSMON

[개념]

• 윈도우 시스템 이벤트 모니터링 도구
• 프로세스 생성, 네트워크 연결, 파일 생성/수정/접근, 레지스트리의 생성/수집/접근 등의 상세 정보를 윈도우 이벤트 로그 파일 형태로 기록하는 '이벤트 수집 에이전트'

구분	Event ID	이벤트 명칭	상세 내용
프로세스 및 드라이버 (Process Lifecycle & Execution)	ID 1	프로세스 생성 (Process Create)	전체 명령어 라인, 부모 프로세스(PPID), 해시 값 등을 기록
	ID 5	프로세스 종료 (Process Terminated)	프로세스가 종료될 때 생성, 공격 도구가 실행 후 흔적 지우기 위해 종료되는 시점 파악
	ID 6	드라이버 로드 (Driver Loaded)	서명 정보 및 해시 로깅
	ID 7	이미지 로드 (Image Loaded)	DLL 로드 시 발생
	ID 8	원격 스레드 생성 (CreateRemoteThread)	프로세스 인젝션 탐지
	ID 10	프로세스 액세스(Process Access)	한 프로세스가 다른 프로세스(예: 메모리나 스레드)를 열려고 시도할 때 기록 코드를 삽입(Process Injection)하거나 권한을 획득하려는 행위를 탐지에 유용
	ID 25	프로세스 탬퍼링 (Process Tampering)
네트워크 및 통신 (Network & IPC)	ID 3	네트워크 연결 (Network Connect)	TCP/UDP 연결, 출발지/목적지 IP 및 포트, 프로세스 정보 로깅
	ID 17, 18	파이프 생성/연결 (PipeEvent)	프로세스 간 통신(IPC) 탐지
	ID 22	DNS 쿼리 (DNS Query)	프로세스가 수행한 DNS 조회 기록
파일 시스템 (File System)	ID 2	파일 생성 시간 변경 (File Creation Time Changed)	공격자의 파일 위장 행위 탐지
	ID 11	파일 생성 (File Created)	새로운 파일 생성 기록, 랜섬웨어의 암호화 파일 생성 또는 악성 코드 드랍 감시
	ID 12~14	레지스트리 변경 사항 추적 (Registry Events)	레지스터리  키 및 값의 생성, 삭제, 이름 변경 등을 감지, 공격자의 지속성 확보 시도를 파악하는데 유용
	ID 15	파일 스트림 생성 (File Stream Created)
	ID 23, 26	파일 삭제 (File Delete)	파일 삭제 행위 기록, 설정에 따라 삭제된 아카이브 디렉토리에 백업하여 분석 활용
시스템 구성 및 레지스트리 (Registry & System State)	ID 4	Sysmon 서비스 상태 변경 (Service State Changed)	Sysmon 서비스 시작 또는 중지되었을 때 기록, 공격자가 감시 회피 목적으로 서비스 종료 확인 용도
	ID 12	레지스트리 생성 및 삭제 (Registry Object added or deleted)	공격자의 지속성 확보 시도
	ID 13	레지스트리 값 변경 (Registry Value set)	자동 시작 프로그램(Run 키 등) 확인
	ID 14	레지스트리 이름 변경 (Registry Object renamed)	공격자의 지속성 확보 시도
	ID 16	Sysmon 구성 변경 (Config State Changed)

 

 

[설정 파일 예시]

• <sysmon></sysmon> : 최상위 태그, 'schemaversion' 속성으로 SYSMON에게 버전 전달
• <EventFilltering> : 이벤트 ID 별로 '기억할 항목(include)'와 '제외할 항목(exculde)' 정의
• 예시 내용 : 모든 프로세스의 생성활동은 기록하고, 크롬 브라우저에서 발생하는 네트워크 연결만 기록에서 제외