Sysmon

　Microsoftの一部門である「Windows Sysinternals」が開発したシステムモニター。コマンドラインで、デバイスドライバーやシステムサービスのログを採取できる。

　「Sysmon」そのものはログの取得のみを行い、取得したログを閲覧・分析するためのGUIを備えていない。ログの分析には「イベント ビューアー」や「Windows PowerShell」などを利用することになる（「イベント ビューアー」で閲覧する場合は［Windows ログ］－［Microsoft］－［Windows］－［Sysmon］－［Operational］）。

　利用するには、まず「コマンドプロンプト」で「Sysmon.exe -i」を実行する。デバイスドライバーとシステムサービスがインストールされるので、あとはシステムを再起動すれば、プロセスの作成やファイルの作成日時の変更といったイベントがWindowsのシステムログへ記録される。

　さらに、インストールの際に「-n」オプションを追加することで、ネットワークへのアクセスをモニタリング対象に追加することも可能。「コマンドプロンプト」で「Sysmon.exe -u」を実行すれば、デバイスドライバーとシステムサービスをアンインストールすることができる。

　「Sysmon」は、ブートプロセスの初期段階からのイベントを生成するため、通常のシステムモニターではモニタリングできない、カーネルモードで動作するマルウェアの活動を補足可能なのがポイントだ。

　加えて、プロセスのマッピングされたイメージがディスク上のイメージファイルと一致しないケースや、イメージファイルが排他的アクセスのためにロックされているケースを、プロセスイメージの改竄としてイベントに記録できる。また、指定された場所にプロセスが実行ファイルを作成するのを防止することも可能。マルウェアを検出・解析するだけでなく、サイバー攻撃の検知や活動を阻害するツールとしても利用できる。