Sysmon

Sysmon es una aplicación oficial de Microsoft para monitorizar el estado y los eventos del sistema. Gracias a él, podemos llevar un control detallado de eventos del sistema, como creación de procesos, conexiones de red, creación y eliminación de archivos, etc.

El programa se instala mediante línea de comandos. Para instalarlo, es necesario abrir CMD.exe como administrador en la ruta donde hayamos instalado el programa. Tras ello, introducimos el comando sysmon -i para instalarlo.

A partir de ahí, tenemos que ir al Visor de eventos de Windows. Ahí, hemos de ir a la ruta Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. En ella, podemos ver registrados todos los eventos que ocurren en el sistema. Los eventos de procesos que es capaz de registrar el programa son los siguientes:

1 ProcesoCrear - Proceso de creación

2 ArchivoCreateTime - Hora de creación de archivos

3 NetworkConnect - Conexión de red detectada

4 Cambio de estado del servicio Sysmon (no se puede filtrar)

5 ProcessTerminate - Proceso finalizado

6 DriverLoad - Controlador cargado

7 ImageLoad - Imagen cargada -

8 CreateRemoteThread - CreateRemoteThread detectado

9 RawAccessRead - RawAccessRead detectado

10 ProcessAccess - Proceso al que se accede

11 ArchivoCrear - Archivo creado

12 RegistryEvent - Objeto del Registro agregado o eliminado

13 RegistryEvent - Conjunto de valores del Registro

14 RegistryEvent - Se ha cambiado el nombre del objeto del Registro

15 ArchivoCreateStreamHash - Secuencia de archivos creada

16 Cambio de configuración de Sysmon (no se puede filtrar)

17 PipeEvent - Canalización con nombre creada

18 PipeEvent - Canalización con nombre conectada

19 WmiEvent - Filtro WMI

20 WmiEvent - Consumidor WMI

21 WmiEvent - Filtro de consumidor WMI

22 DNSQuery - Consulta de DNS

23 FileDelete - Eliminación de archivos archivados

24 PortapapelesChange - Nuevo contenido en el Portapapeles

25 ProcessTampering - Cambio de imagen de proceso

26 FileDeleteDetected - Eliminación de archivos registrada