Sysmon

Sysmon は、システムのステータスやイベントを監視するための公式Microsoftアプリです。このアプリを使うことで、プロセスの作成、ネットワーク接続、ファイルの作成や削除など、システム内での詳細なイベントを管理できます。

プログラムはコマンドラインを使ってインストールします。インストールするには、CMD.exeを管理者として開き、プログラムをインストールしたディレクトリでコマンド sysmon -i を入力してください。

その後、Windowsのイベントビューアーに移動します。次に Applications and Services Logs/Microsoft/Windows/Sysmon/Operational のパスを開きます。そこでは、システムで発生しているすべてのイベントを確認できます。プログラムが記録できるプロセスイベントは以下の通りです:

1. ProcessCreate - プロセス作成

2. FileCreateTime - ファイル作成時刻

3. NetworkConnect - ネットワーク接続を検出

4. Sysmon のサービスステータスの変更 (フィルター不可)

5. ProcessTerminate - プロセス終了

6. DriverLoad - ドライバー読み込み

7. ImageLoad - イメージ読み込み

8. CreateRemoteThread - リモートスレッド作成を検出

9. RawAccessRead - RawAccessRead を検出

10. ProcessAccess - プロセスアクセス

11. FileCreate - ファイル作成

12. RegistryEvent - レジストリオブジェクトの追加または削除

13. RegistryEvent - レジストリ値の設定

14. RegistryEvent - レジストリオブジェクトの名前変更

15. FileCreateStreamHash - ファイルストリームが作成される

16. Sysmon 設定の変更 (フィルター不可)

17. PipeEvent - 名前付きパイプが作成される

18. PipeEvent - 名前付きパイプへの接続

19. WmiEvent - WMI フィルター

20. WmiEvent - WMI コンサーマー

21. WmiEvent - WMI コンサーマーフィルター

22. DNSQuery - DNS問い合わせ

23. FileDelete - アーカイブされたファイルを削除

24. ClipboardChange - 新しい内容がクリップボードに追加

25. ProcessTampering - プロセスイメージの変更

26. FileDeleteDetected - 記録されたファイルの削除