Sysmon-Config实战教程:CVE漏洞检测与风险评分系统的完整实现 Sysmon-Config实战教程CVE漏洞检测与风险评分系统的完整实现【免费下载链接】sysmon-configAdvanced Sysmon ATTCK configuration focusing on Detecting the Most Techniques per Data source in MITRE ATTCK, Provide Visibility into Forensic Artifact Events for UEBA, Detect Exploitation events with wide CVE Coverage, and Risk Scoring of CVE, UEBA, Forensic, and MITRE ATTCK Events.项目地址: https://gitcode.com/gh_mirrors/sys/sysmon-configSysmon-Config是一个高级的Sysmon ATTCK配置项目专注于为MITRE ATTCK框架提供最全面的技术检测能力。这个强大的安全监控工具不仅能够检测CVE漏洞利用事件还能为CVE、UEBA、取证和MITRE ATTCK事件提供风险评分系统。无论你是安全分析师、系统管理员还是蓝队成员这个配置都能为你提供前所未有的系统可见性和威胁检测能力。 什么是Sysmon-ConfigSysmon-Config是一个专门为Windows Sysmon工具设计的配置文件它通过精心设计的规则集实现了对系统活动的全面监控。这个配置的核心目标是检测MITRE ATTCK中每个数据源的最多技术、为UEBA提供取证工件事件的可见性、检测具有广泛CVE覆盖范围的利用事件以及对各种安全事件进行风险评分。主要特性亮点CVE漏洞检测覆盖数百个已知漏洞的检测规则风险评分系统为每个安全事件分配1-100的风险分数MITRE ATTCK映射完整的技术、战术和数据源映射取证工件监控提供丰富的上下文信息用于调查分析低误报率精心设计的规则减少误报干扰 快速部署指南一键安装方法最简单的部署方式是使用项目提供的PowerShell脚本。首先克隆项目仓库git clone https://gitcode.com/gh_mirrors/sys/sysmon-config然后运行安装脚本# 以管理员身份运行PowerShell cd sysmon-config .\Sysmon_Installer.ps1这个脚本会自动完成以下操作创建Sysmon文件夹C:\ProgramData\Sysmon\根据系统架构下载合适的Sysmon版本下载最新的配置文件安装Sysmon并应用配置创建每小时更新的计划任务手动安装步骤如果你需要更多控制可以手动安装# 下载Sysmon Invoke-WebRequest -Uri https://live.sysinternals.com/sysmon64.exe -OutFile sysmon64.exe # 下载配置文件 Invoke-WebRequest -Uri https://raw.githubusercontent.com/ion-storm/sysmon-config/master/sysmonconfig-export.xml -OutFile sysmonconfig-export.xml # 安装Sysmon .\sysmon64.exe -accepteula -i sysmonconfig-export.xml⚙️ 配置详解与核心功能CVE漏洞检测机制Sysmon-Config内置了针对数百个CVE漏洞的检测规则。每个规则都包含详细的元数据标签Rule nameAttackT1190,TechniqueExploit Public-Facing Application,TacticInitial Access,CVECVE-2020-1350,DSProcess: Process Creation,Level4,AlertDNS Remote Code Execution,Risk100 groupRelationand ParentCommandLine conditioncontains allsvchost.exe;termsvcs/ParentCommandLine Image conditionexcludes anyrdpclip.exe;csrss.exe;wininit.exe/Image /Rule配置文件中包含了针对以下关键漏洞的检测CVE-2020-1350(Windows DNS服务器远程代码执行漏洞)CVE-2019-0708(BlueKeep RDP漏洞)CVE-2021-26857(HAFNIUM Exchange漏洞)CVE-2021-26084(Atlassian Confluence漏洞)CVE-2022-33891(Apache Spark漏洞)风险评分系统项目实现了精细的风险评分机制将事件分为四个等级风险等级分数范围描述低风险1-39信息性事件通常无需立即响应中风险40-69需要定期审查的相关事件高风险70-89应触发内部警报并需要及时审查关键风险90-100表明安全事件需要立即响应每个规则都包含Risk字段例如Risk100表示最高风险级别的事件。MITRE ATTCK集成配置完全映射到MITRE ATTCK框架每个规则都包含AttackATTCK标识符Technique具体技术Tactic战术分类DS数据源这种结构化标签使得安全团队可以轻松地将检测事件与威胁情报框架对齐。️ 实战应用场景场景1Web服务器漏洞检测当Web服务器如IIS、Apache、Nginx被攻击时Sysmon-Config能够检测到异常进程创建Rule nameAttackT1190,TechniqueExploit Public-Facing Application,TacticInitial Access,DSProcess: Process Creation,Level4,AlertWeb Server Exploitation Detected,Risk100 groupRelationand ParentImage conditioncontains anyapache;php-cgi.exe;nginx.exe;httpd.exe;tomcat;php.exe/ParentImage Image conditioncontains anyarp.exe;at.exe;cscript.exe;wscript.exe;cmd.exe;powershell.exe/Image /Rule场景2浏览器漏洞利用检测检测通过浏览器进行的漏洞利用活动Rule nameAttackT1189,TechniqueDrive-by Compromise,TacticInitial Access,DSProcess: Process Creation,Level4,AlertBrowser Exploitation Detected,Risk100 groupRelationand ParentImage conditioncontains anyiexplore.exe;chrome.exe;firefox.exe/ParentImage Image conditioncontains anytracert.exe;csc.exe;cscript.exe;wscript.exe;cmd.exe;powershell.exe/Image /Rule场景3数据库服务器攻击检测保护SQL服务器免受攻击Rule nameAttackT1190,TechniqueExploit Public-Facing Application,TacticInitial Access,DSProcess: Process Creation,Level3,AlertSQL Server Exploitation Detected,Risk100 groupRelationand ParentImage conditioncontains anysqlservr/ParentImage Image conditioncontains anyarp.exe;at.exe;cscript.exe;wscript.exe;cmd.exe;powershell/Image /Rule 高级配置与定制规则结构解析每个Sysmon规则都遵循标准结构Rule nameAttackT1566.001,TechniquePhishing: Spear Phishing Attachment,TacticInitial Access,DSProcess: Process Creation,Level0,AlertExecuted files within Outlook Attachments,Risk30 groupRelationand Image conditioncontainsC:\Users\/Image Image conditioncontainsContent.Outlook/Image /Rule响应自动化标签配置支持多种自动化响应标签kpy终止进程及其子进程kcy终止网络连接fwy添加Windows防火墙规则yaray进行Yara扫描isoy隔离主机误报率管理每个规则都包含FPFalse Positive标签帮助评估规则质量FP0零误报率FP1少量误报FP2中等误报率FP3高误报率 监控与告警集成SIEM集成最佳实践Sysmon-Config设计用于与SIEM系统无缝集成。建议创建两个独立的索引告警索引存储Alert标记的事件可见性索引存储Desc和Forensic标记的事件用于威胁狩猎和调查关键配置文件项目中包含几个关键文件sysmonconfig-export.xml主配置文件包含所有检测规则Sysmon_Installer.ps1自动化安装脚本SysmonUpdateConfig.ps1配置更新脚本Sysmon Install.ps1替代安装脚本 性能优化建议排除列表配置为了避免性能问题建议根据环境添加排除规则RuleGroup nameRGFileExecutable Excludes groupRelationor FileExecutableDetected onmatchexclude Rule nameSmartGit Exclusion groupRelationand TargetFilename conditionbegin withC:\Users/TargetFilename TargetFilename conditioncontainsAppdata/TargetFilename TargetFilename conditioncontainssmartgit/TargetFilename /Rule /FileExecutableDetected /RuleGroupCPU使用率监控高CPU使用率通常表明需要添加排除规则。监控Sysmon进程的资源使用情况如果发现持续高负载检查哪些规则触发最频繁并适当调整。 持续更新策略自动更新机制安装脚本会创建一个每小时运行的计划任务自动更新配置文件# 创建计划任务 schtasks.exe /Create /RU SYSTEM /RL HIGHEST /SC HOURLY /TN Update_Sysmon_Rules /TR powershell.exe -ExecutionPolicy Bypass -File C:\Programdata\Sysmon\SysmonUpdateConfig.ps1 /f手动更新方法如果需要手动更新配置# 更新现有配置 sysmon.exe -c sysmonconfig-export.xml # 完全重新安装 sysmon.exe -accepteula -i sysmonconfig-export.xml 效果评估与优化部署后检查清单验证安装检查Sysmon服务是否正常运行测试规则触发一些测试事件验证检测能力监控性能观察系统资源使用情况调整排除根据环境添加必要的排除规则集成SIEM配置日志收集和告警规则常见问题解决问题1CPU使用率过高检查哪些规则频繁触发添加适当的排除规则考虑禁用某些高频率但低风险的规则问题2事件太多难以管理调整规则级别设置使用SIEM过滤和聚合只关注高风险事件问题3某些合法活动被误报分析误报模式添加特定排除规则调整条件逻辑 最佳实践总结分阶段部署先在测试环境中验证再推广到生产持续优化定期审查规则效果和性能影响团队培训确保安全团队理解规则逻辑和响应流程集成工作流将检测事件纳入现有的安全运营流程贡献改进根据实际经验向项目提交改进建议Sysmon-Config作为一个开源项目其价值在于社区的持续贡献和改进。通过这个配置安全团队可以获得企业级的威胁检测能力同时保持灵活性和可定制性。记住安全监控不是一次性的工作而是一个持续优化的过程。【免费下载链接】sysmon-configAdvanced Sysmon ATTCK configuration focusing on Detecting the Most Techniques per Data source in MITRE ATTCK, Provide Visibility into Forensic Artifact Events for UEBA, Detect Exploitation events with wide CVE Coverage, and Risk Scoring of CVE, UEBA, Forensic, and MITRE ATTCK Events.项目地址: https://gitcode.com/gh_mirrors/sys/sysmon-config创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考