Sysmon im Bereich IT-SecurityAuf der Webseite Windows Sysinternals hat Microsoft nun ein neues kostenloses Tool vorgestellt und damit die beliebte Sysinternals-Werkzeugsammlung seit langer Zeit mal wieder erweitert.

Das Tool Sysmon ist vor allem dazu gedacht, eventuelle Schadprogramme auf Windows Servern zu finden indem es Aktivitäten in das Ereignisprotokoll schreibt.

Einmal gestartet bleibt es bei einem Neustart aktiv und zeichnet die erkannten Dinge auf.

Es protokolliert es unter anderem:

  • Das Erstellen von neuen Prozessen inklusive Befehlszeile
  • Netzwerkverbindungen inklusive Quelladresse, Portnummer usw.
  • Das tatsächliche Änderungsdatum von Dateien (wird oftmals von Schadprogrammen gefälscht)

Möglicherweise kommt man dadurch einem kompromittierten Server auf die Spur, der sich merkwürdig verhält.

In Umgebungen mit erhöhtem Sicherheitsbedarf kann man das eingesetzte Monitoringprogramm auf die entsprechenden Eventlogs einstellen, sodass man hier zeitnah zusätzliche Hinweise bekommen kann, ob es auf dem Server Sicherheitsprobleme gibt.

Aber auch die Funktionsweise der Protokollierung von Dateiänderungen wird von unseren Kunden manchmal gewünscht. Nun haben wir hiermit ein tolles, kostenloses Tool an der Hand.

Download Sysmon

Den Download des Tools finden Sie hier.

Kommentarbereich geschlossen.