Sysmon
-
-
Sysmon
- バージョン・リリース日
- v15.15(24/07/23) インストールアプリ
-
Windows Sysinternals開発のシステムモニターツール
- ソフト種別
- 無料
- 対応環境 :
- Windows 8.1/Windows Server 2012以降
- 公式サイトから
ダウンロード
外部ページへ移動します
-
※消費税増税のため、一部ソフトの価格が異なっている場合があります
Microsoftの一部門である「Windows Sysinternals」が開発したシステムモニター。コマンドラインで、デバイスドライバーやシステムサービスのログを採取できる。
「Sysmon」そのものはログの取得のみを行い、取得したログを閲覧・分析するためのGUIを備えていない。ログの分析には「イベント ビューアー」や「Windows PowerShell」などを利用することになる(「イベント ビューアー」で閲覧する場合は[Windows ログ]-[Microsoft]-[Windows]-[Sysmon]-[Operational])。
利用するには、まず「コマンドプロンプト」で「Sysmon.exe -i」を実行する。デバイスドライバーとシステムサービスがインストールされるので、あとはシステムを再起動すれば、プロセスの作成やファイルの作成日時の変更といったイベントがWindowsのシステムログへ記録される。
さらに、インストールの際に「-n」オプションを追加することで、ネットワークへのアクセスをモニタリング対象に追加することも可能。「コマンドプロンプト」で「Sysmon.exe -u」を実行すれば、デバイスドライバーとシステムサービスをアンインストールすることができる。
「Sysmon」は、ブートプロセスの初期段階からのイベントを生成するため、通常のシステムモニターではモニタリングできない、カーネルモードで動作するマルウェアの活動を補足可能なのがポイントだ。
加えて、プロセスのマッピングされたイメージがディスク上のイメージファイルと一致しないケースや、イメージファイルが排他的アクセスのためにロックされているケースを、プロセスイメージの改竄としてイベントに記録できる。また、指定された場所にプロセスが実行ファイルを作成するのを防止することも可能。マルウェアを検出・解析するだけでなく、サイバー攻撃の検知や活動を阻害するツールとしても利用できる。
関連リンク
-
「BgInfo」システム情報をデスクトップ壁紙に表示できるツール - 窓の杜
https://forest.watch.impress.co.jp/library/software/bginfo/
関連記事
- 「Process Explorer」が約9年ぶりのメジャーバージョンアップ、ダークモードに対応 (2022/10/27)
- 「Sysmon 14.0」が公開、マルウェアの検知・解析だけでなくブロックも可能に (2022/8/22)
- Microsoft、Linux版「Sysmon」をオープンソースプロジェクトに (2021/10/15)
- 「TCPView」v4.0が公開 ~検索ボックスやダークモードに対応 (2021/3/26)
- 「Sysmon」の最新版v13.00がProcess Hollowing/Herpaderping攻撃の検出に対応 (2021/1/12)