• Sysmon, dns.

    В версии Sysmon которая вышла 11 июня 2019 года, ведена функция записи dns запросов.

    1. 8 июня 2019 года Марк Руссинович, создатель инструмента Sysmon и технический директор Microsoft Azure, опубликовал скриншот новой функции ведения журнала Windows. А именно, системный монитор Sysmon расширил функциональность журнала событий Windows и теперь помимо старых, так сказать записей ведения журнала, к ним добавилась запись запросов DNS.
    2. Теперь в обновленном журнале событий Windows можно узнать какая программа обращалась к DNS, получить запись ответа запроса. Это ставит плюс к защите системы и аналитике, скажем можно посмотреть если на компьютере вирус, какие программы обращаются работая в фоне к DNS. Посмотреть журнал за определенный промежуток времени и выявить программу шпион которая передает информацию о вашем пк.
    3. Для того чтобы задействовать ведение журнала запросов к DNS, надо его включить, для этого проделываем действия:
    4. Нажимаем сочетание клавиш Win + R и в открывшемся окне "Выполнить" набираем:
    5. eventvwr.msc
    6. Откроется окно журнала в котором уже имеются другие события, слева в первой колонке идем по пути:
    7. Журналы приложений и служб> Microsoft> Windows> События DNS-клиента>
    8. Кликнув правой кнопкой мышки по "Операционные" в контекстном меню выбираете "Включить журнал", тем самым задействовали запись в журнал запросов к DNS. Полезная запись в журнале, много кто хочет знать следят за их пк, шпионское по выявлять стало удобнее.
    9. Обзор возможностей Sysmon 10

    10. Записывает создание процесса с полной командной строкой для текущих и родительских процессов.
    11. Записывает хэш файлов образов процесса с использованием SHA1 (по умолчанию), MD5, SHA256 или IMPHASH.
    12. Несколько хешей могут быть использованы одновременно.
    13. Включает GUID процесса в события создания процесса, чтобы обеспечить корреляцию событий, даже когда Windows повторно использует идентификаторы процессов.
    14. Включите GUID сеанса в каждое событие, чтобы разрешить корреляцию событий в одном сеансе входа.
    15. Журналы загрузки драйверов или DLL с их подписями и хешами.
    16. Журналы открываются для прямого чтения дисков и томов.
    17. При желании регистрирует сетевые соединения, включая исходный процесс каждого соединения, IP-адреса, номера портов, имена хостов и имена портов.
    18. Обнаруживает изменения во времени создания файла, чтобы понять, когда файл был действительно создан. Модификация временных меток создания файла - это метод, обычно используемый вредоносным ПО для отслеживания своих треков.
    19. Автоматически перезагрузить конфигурацию, если она изменена в реестре.
    20. Фильтрация правил для динамического включения или исключения определенных событий.
    21. Генерирует события с самого начала процесса загрузки для захвата действий, совершаемых даже сложными вредоносными программами в режиме ядра.

    22. Ссылки на материалы упоминающиеся в статье:

      Перейти Твит в твиттер аккаунте Mark Russinovich.
      Перейти официальная страница Sysmon.