微软发布具有DNS查询日志记录功能的Sysmon

系统监视器（Sysmon）是一种Windows系统服务和设备驱动程序，一旦安装在系统上，就会在系统重新启动时保持驻留状态，以监视和记录系统活动到Windows事件日志中。

它提供有关进程创建，网络连接，文件创建时间更改等详细信息。

通过使用Windows事件收集或SIEM代理收集它生成的事件并随后对其进行分析，可以识别恶意或异常活动，并了解入侵者和恶意软件如何在用户网络上运行。

需要注意的是，Sysmon不会对其生成的事件进行分析，也不会尝试保护自己免受攻击者攻击，因此仅作为监控工具而存在，允许其监视计算机上的某些活动并将其记录到Windows事件查看器。

而就在周二，微软发布了Sysmon 10，并带来了备受期待的DNS查询记录功能。此功能将允许Sysmon用户在受监视的计算机上记录进程所执行的DNS查询。

这对于全球安全分析人员和Windows管理人员无疑是一则特大喜讯。

下载Sysmon 10可以访问Sysinternal页面或从https://live.sysinternals.com/sysmon.exe直接下载。下载后，需要通过具有管理员权限的命令行运行程序。

下面为启用DNS查询日志记录的基本配置文件示例。如果尚未安装sysmon，则可以使用sysmon.exe -i config.xml安装此配置文件，如果已运行，则使用sysmon.exe -c config.xml安装

更多事件过滤可参考下表：

使用上述配置文件启动Sysmon后，它将开始将DNS查询事件记录到事件查看器中的应用程序和服务日志/Microsof /Windows/Sysmon/Operational中

下面为程序访问Virustotal等网站时执行DNS查询的示例，由此便可以看出，这对于排查本机是否有程序恶意外连具有极大的帮助。

本次版本除了DNS事件外，还新增了ProcessCreate（EventID-1）和ImageLoaded（EventID-7）事件中的OriginalFileName，且EventType也添加至命名管道事件（17和18），同样需要留意。

Sysmon新增的功能对于终端上的恶意进程外连DNS的监控有很大帮助，而奇安信自主研发的网神终端安全响应系统（EDR）也提供了类似功能，在获取到进程向外发起DNS请求的同时，结合威胁情报，通过最新的安全线索快速锁定威胁终端，并通过实时数据和历史终端信息对受害终端进行深度评估，进而揭示内网终端的安全缺陷，通过自动化响应机制进行相应处置，以达到有效防御和安全防护的目的。

网神终端安全响应系统（EDR）介绍：

https://www.qianxin.com/product/security_response

需要深入了解和下载64位Sysmon请移步官方链接

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

使用预制的Sysmon配置文件来检测恶意流量和威胁可参考以下github

https://github.com/SwiftOnSecurity/sysmon-config