Sysinternals sysmon er en af de mest omtalte gratis sikkerhed sladrehanke man kan installere på et system.

Her er lidt om hvordan jeg har lavet en pakke som deployer sysmon.

Først Sysmon er del af sysinternals suiten, men kan hentes her som standalnone: https://technet.microsoft.com/en-us/sysinternals/sysmon

Anden del er at hente swiftonsecurty's configurations file her: https://github.com/SwiftOnSecurity/sysmon-config

Denne configfile bør man kigge igennem og ændre i efter behov.

Jeg bruger Powershell AppDeploymentToolkit til mine "pakker", men pakken indeholder få simple steps:

Check for om sysmon servicen køre

 $IsSysmonInstalled = Get-Service -Name sysmon -ErrorAction SilentlyContinue

Hvis servicen er kørende skal denne afinstalleres via sysmon.exe -u

Herefter kan servicen installeres og konfigures, ved at kopier exefilen til et installations dir lokalt på maskinen og derefter starte/installer servicen via nedestående kommando

$installservicearg =  "-accepteula –i "+  "sysmonconfig-export.xml" +  " –h md5,sha256 –n"

Execute-Process $installservice -Arguments $installservicearg -WindowStyle "Hidden"  -WorkingDirectory $installPath

det vigtigste er at sætte -workingDirectory, da sysmon.exe forventer at den angivet configfile ligge i den mappe sysmon.exe startes fra.

Hvis man vil lære mere mere om sysmon, vil jeg anbefale Paula's https://cqureacademy.com/blog/server-monitoring/sysmon og eventuelt  alternativet til swiftonsecurity's configuration på https://github.com/ion-storm/sysmon-config og naturligvis Mark R slides fra https://www.rsaconference.com/writable/presentations/file_upload/hta-w05-tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf