Sysmon

    • Sysmon

      Sysmon

      v15.15(24/07/23)
      インストールアプリ
    • Windows Sysinternals開発のシステムモニターツール

      無料
      対応環境 :
      Windows 8.1/Windows Server 2012以降

※消費税増税のため、一部ソフトの価格が異なっている場合があります

 Microsoftの一部門である「Windows Sysinternals」が開発したシステムモニター。コマンドラインで、デバイスドライバーやシステムサービスのログを採取できる。

 「Sysmon」そのものはログの取得のみを行い、取得したログを閲覧・分析するためのGUIを備えていない。ログの分析には「イベント ビューアー」や「Windows PowerShell」などを利用することになる(「イベント ビューアー」で閲覧する場合は[Windows ログ]-[Microsoft]-[Windows]-[Sysmon]-[Operational])。

 利用するには、まず「コマンドプロンプト」で「Sysmon.exe -i」を実行する。デバイスドライバーとシステムサービスがインストールされるので、あとはシステムを再起動すれば、プロセスの作成やファイルの作成日時の変更といったイベントがWindowsのシステムログへ記録される。

 さらに、インストールの際に「-n」オプションを追加することで、ネットワークへのアクセスをモニタリング対象に追加することも可能。「コマンドプロンプト」で「Sysmon.exe -u」を実行すれば、デバイスドライバーとシステムサービスをアンインストールすることができる。

 「Sysmon」は、ブートプロセスの初期段階からのイベントを生成するため、通常のシステムモニターではモニタリングできない、カーネルモードで動作するマルウェアの活動を補足可能なのがポイントだ。

 加えて、プロセスのマッピングされたイメージがディスク上のイメージファイルと一致しないケースや、イメージファイルが排他的アクセスのためにロックされているケースを、プロセスイメージの改竄としてイベントに記録できる。また、指定された場所にプロセスが実行ファイルを作成するのを防止することも可能。マルウェアを検出・解析するだけでなく、サイバー攻撃の検知や活動を阻害するツールとしても利用できる。

作者名
Mark Russinovich、Thomas Garnier 氏
公式サイト
Sysmon - Sysinternals | Microsoft Learn
https://learn.microsoft.com/ja-jp/sysinternals/downloads/sysmon