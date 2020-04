Bei den Sysinternals-Tools handelt es sich um eine Sammlung nützlicher Windows-Programme, die Microsoft-Mitarbeiter Mark Russinovich seit 1996 entwickelt und kostenlos bereitstellt. Jetzt wurde das Tool Sysmon aktualisiert.

Das macht Sysmon

Das Tool Sysmon (der Name steht für System Monitor) ist ein Windows Systemdienst samt Gerätetreiber, der nach der Installation resident, auch über Systemneustarts hinweg, auf dem System verbleibt. Sysmon dient dazu, die Systemaktivität zu überwachen und im Windows-Ereignisprotokoll zu protokollieren. Der Treiber liefert dazu detaillierte Informationen etwa über erstellte Prozesse, Netzwerkverbindungen und Änderungen der Erstellungszeit von Dateien.

Über die Windows-Ereignisanzeige können Administratoren später die von Sysmon erzeugten Einträge in den Ereignisprotokollen auswerten. Alternativ oder zusätzlich lassen sich die Ereignisprotokolle auch durch SIEM-Agenten (Security Information and Event Management) überwachen. Dies ist bei der Überwachung und der Analyse von bösartigen oder anomalen Aktivitäten hilfreich. So lässt sich eventuell herausfinden, über welche Prozesse und Tools Eindringlinge oder Malware auf Windows-Systemen und im Netzwerk unterwegs sind.

Das ist neu an Version 11.0

Auf der Sysinternals-Seite listet Russinovich die in der Version 11.0 eingeführten Neuerungen auf. Diese Version von Sysmon umfasst jetzt auch die Überwachung und Protokollierung/Archivierung von Operationen zum Löschen von Dateien. Die zur Löschung anstehenden Dateien kopiert das Tool zuvor zur späteren Analyse. Eine Heuristik soll auch entdecken, wenn Programme Dateien vor dem Löschen mit Nullen oder einem Zufallsmuster überschreiben.

Offenbar aus dem Home Office erklärt Sysinternals-Erfinder Mark Russinovich die Neuerungen in seinem Monitoring-Tool Sysmon.



Zudem besitzt die neue Sysmon-Version eine Option zur Deaktivierung des Reverse DNS Lookup und ersetzt leere Felder durch "-", um einen WEF-Fehler zu umgehen. In der neuen Version wurde auch ein Problem behoben, das dazu führte, dass einige Process-Access-Ereignisse abgebrochen wurden. Ferner werden Hauptdatenströme, die als in der Cloud gespeichert markiert sind, nicht mehr gehasht.

Download und weitere Informationen

Sysmon lässt sich auf dieser Webseite herunterladen. Dort findet sich auch eine umfangreichere Dokumentation der Befehle, um das Tool zu installieren. Ebenso ist dort das Format der XML-Dateien beschrieben, die man zur Konfiguration von Sysmon erstellen muss. (hos)