Networkforensic
Threat hunting
Sysmon config
23 Oktober 2025 - Blog Post # 878
Sysmon
Jeg har længe været tilhænger af et sikkerhedsopsætning imellem Sysmon,
Windows Logs og lokal Defender på Windows systemer. Med de rigtige
hærdninger og sikkerheds opsætninger så får man en rigtig fint og
sikkert system kørende.
EDR tools kom for en del år siden hvor jeg også selv var fan af
disse systemer. Men jeg må tilstå at jeg lagt fra er fan af denne
type system mere. Det er der flere årsager til. Nogen meget ligefem
er at andre får adgang til alle mine systemer hvor disse er
installeret. Filer han hentes ud uden det store, andre man ikke
nødvendigvis truster kan kigge med i systemer, osv osv osv
listen af ting er efterhånden bare blevet længere og længere. Mange
får pumpet øernde fulde med at det er et "must have" hvilket det
langt fra er.
I forbindelse med Sysmon testede jeg for lang tiden siden
MITRE attack
metodikker til fremstilling af egene detections til Sysmon. Til det bruget
jeg
AtomicRed. Det er et værktøj der kan simulere mange forskellige
angrebs metodikker. Dette er rigtig brugbart når man laver Sysmon
Config's. Det kan vise om ens Sysmon Config nu også finder det den
burde finde i forhold til MITRE Attacks metodikker.
Da det efterhånden er lang tid siden jeg gjorde det sidst, er jeg
igang med at få genbesøgt hele testen. Jeg må indrømme at jeg ikke
fremover venter SÅ længe med at genbesøge dette emne, for der er
løbet en del nye test ind i AtomicRed, som jeg er igang med at få
samlet op på. Det betyder at nye Sysmon Config vil næsten dagligt
blive publiceret med nye eller tilpasset detections indtil jeg er
færdig med at få testet.
Der har ikke manglet fokus....bare hænder og tid.
Dermed ikke sagt at der ikke har været fokus på Sysmon Config filen
jeg publicerer og benytter selv i
en lidt tilpasset version. Jeg har løbende lavet detection til
metodikker som faktisk slet ikke har fundet indpas endnu under
MITRE. Der er lavet detection til metodikker fra malware kampanger,
hvor der faktisk slet ikke findes noget til at opdage disse ting
med. Der er lavet detection til samtlige
LOLBAS
teknikker, alle
Sysinternals autoruns osv osv.. Alle detection bruger jeg tid på
at validere for at de virker som de skal. Det er faktisk der man
bruger mest tid når man laver nye detections.
I forbindelse med testen er jeg faldet over mange af de publiceret
Sysmon Config man kan hente derude, bla fra
wazuh og mange andre. De virker alle sammen med forskelligt
udfald. Rigtig mange at de config filer jeg finder er en hel del
fejlbehæftet med syntax fejl, forkert detection logik, fejl i
placeringer i include / exclude, der rent faktisk gør at en del af
dem rent faktisk kommer til at helt fjerne angreb der foregår på ens
systemer. Så de kan hurtig give en falsk form for tryghed såfremt
man bare lige henter en config og ikke validere ALLE detections i
ens config fil.
Så lad det være en advarsel til alle der bare lige henter en Sysmon
Config fil. Man skal validere alle detections der indgår i disse
filer. Ellers er man ikke sikker på at de virker.
Happy hunting...
SNORT
NF IDS Rules
Latest Updates
SbaProxy
NGROK Tunnels
Top 10 bad TLD
Danish law DNS blocking
Trojan
Winn32/Stealc
NoMachine
Busybox Shell
Redline Stealer
Download
Suricata
NF IDS Rules
3 Latest Updates
NGROK Tunnels
BIMP-BotNet
Remcos-RAT
Download
Scanner
Detection
NF IDS Rules
73 Different
scanning actors
Download
Sysmon
Config
Latest Updates
Version 15.15 Config 120
Download