مساله
در این سند تنظیمات مورد نیاز جهت استفاده از Microsoft SysInternals System Monitor (SYSMON) در کنار پادویش شرح داده شده است
نرمافزار Sysmon یک سرویس و درایور ویندوزی است که به صورت دلخواه می توان آن را پس از دانلود به راحتی فعال نمود. این سرویس قابلیت آن را دارد که از فعالیت تمامی پردازه ها، ارتباطات شبکه، تغییرات رجیستری و… لاگ برداری نماید.
در صورت فعالسازی این سرویس، نیاز به تنظیم کردن فایلی با پسوند xml می باشد که شامل تنظیمات اولیه این سرویس می شود. تنظیماتی که در آن مشخص می کنید که از بعضی فعالیت ها در سیستم لاگ گرفته نشود و یا بلعکس فقط از بعضی فعالیت ها لاگ گرفته شود. کاربرد این تنظیمات زمانی اهمیت پیدا می کند که در صورتی که هیچگونه شرطی برای sysmon تنظیم نکرده باشید، از تمامی فعالیت های پردازه ها لاگبرداری خواهد شد که این موضوع موجب ایجاد تعداد بسیار زیادی لاگ در هر ثانیه شده و این موضوع میتواند بر کارایی سیستمها تاثیر بگذارد. یکی از مواردی که میبایست در تنظیمات sysmon به عنوان استثنا معرفی گردد، پردازه ی ضدبدافزار می باشد، به دلیل اینکه آنتی ویروس با توجه به ماهیت خود، در لحظه در حال دسترسی گرفتن به پردازه ها و فایل های زیادی میباشد، و حتی ممکن است sysmon در تلاش برای لاگبرداری از عملیات آنتیویروس ناخواسته موجب حلقه شود. این موضوع موجب ایجاد لاگ های زیادی در sysmon میشود که دارای اطلاعات مفیدی نیستند.
راهکار
جهت جلوگیری از ایجاد این لاگ ها در sysmon می بایست تنظیماتی اعمال شود.
تنظیمات مورد نیاز در صورت استفاده از محصول آنتی ویروس:
<ProcessAccess onmatch="exclude"> <SourceImage condition="contains all">C:\Program Files;\Padvish AV\APCcSvc.exe</SourceImage> </ProcessAccess>
<RuleGroup groupRelation="and">
<ProcessAccess onmatch="exclude">
<SourceImage condition="is">C:\Windows\system32\svchost.exe</SourceImage>
<TargetImage condition="contains all">C:\Program Files;\Padvish AV\APCcSvc.exe</TargetImage>
</ProcessAccess>
</RuleGroup>
<RuleGroup groupRelation="and">
<ImageLoad onmatch="exclude">
<Image condition="contains all">C:\Program Files;\Padvish AV\APCcSvc.exe</Image>
<ImageLoaded condition="contains all">C:\Program Files;\Padvish AV\</ImageLoaded>
</ImageLoad>
</RuleGroup>
<RuleGroup groupRelation="and">
<FileCreate onmatch="exclude">
<Image condition="contains all">C:\Program Files;\Padvish AV\APCcSvc.exe</Image>
<TargetFilename condition="contains all">C:\Program Files;\Padvish AV\</TargetFilename>
</FileCreate>
</RuleGroup>
<RuleGroup groupRelation="and">
<RegistryEvent onmatch="exclude">
<Image condition="contains all">C:\Program Files;\Padvish AV\APCcSvc.exe</Image>
<TargetObject condition="contains all">\SOFTWARE\;\AmnPardaz\Padvish\</TargetObject>
</RegistryEvent>
</RuleGroup>
تنظیمات مورد نیاز در صورت استفاده از محصول آنتی کریپتو:
<ProcessAccess onmatch="exclude"> <SourceImage condition="contains all">C:\Program Files;\Padvish AntiCrypto\AntiCrypto.exe</SourceImage> </ProcessAccess>
<RuleGroup groupRelation="and">
<ProcessAccess onmatch="exclude">
<SourceImage condition="is">C:\Windows\system32\svchost.exe</SourceImage>
<TargetImage condition="contains all">C:\Program Files;\Padvish AntiCrypto\AntiCrypto.exe</TargetImage>
</ProcessAccess>
</RuleGroup>
<RuleGroup groupRelation="and">
<ImageLoad onmatch="exclude">
<Image condition="contains all">C:\Program Files;\Padvish AntiCrypto\AntiCrypto.exe</Image>
<ImageLoaded condition="contains all">C:\Program Files;\Padvish AntiCrypto\</ImageLoaded>
</ImageLoad>
</RuleGroup>
<ImageLoad onmatch="exclude">
<Image condition="contains all">C:\Program Files;\Padvish AntiCrypto\;\APBak.exe</Image>
</ImageLoad>
<RuleGroup groupRelation="and">
<RegistryEvent onmatch="exclude">
<Image condition="contains all">C:\Program Files;\Padvish AntiCrypto\AntiCrypto.exe</Image>
<TargetObject condition="contains">\System\CurrentControlSet\services\</TargetObject>
</RegistryEvent>
</RuleGroup>
لاگ هایی که به دلیل اعمال استثنائات ذکر شده، ثبت نخواهند شد، لاگ هایی هستند که از اطلاعات مفیدی برخوردار نیستند و با اعمال این تنظیمات، لاگ با اهمیتی که بتواند در پروسه فارنزیک تاثیر گذار باشد، از دست نخواهد رفت