# Sysmon - Sysinternals | Microsoft Learn Aqui está um resumo em português do artigo "Sysmon v15.15" (Mark Russinovich e Thomas Garnier — 23 de julho de 2024): Visão geral * Sysmon (System Monitor) é um serviço e driver do Windows que permanece residente após a instalação para monitorar e registrar atividade do sistema no log de eventos do Windows. * Fornece telemetria detalhada sobre criação de processos (com linha de comando), conexões de rede, carregamento de drivers/DLLs, alterações na hora de criação de arquivos e muito mais. * Não realiza análise automática dos eventos nem tenta se ocultar; é uma fonte de eventos para ferramentas de coleta/SIEM. Principais funcionalidades * Log de criação de processos com linha de comando e hashes de arquivo (SHA1 por padrão; suporta MD5, SHA256, IMPHASH ou múltiplos). * Gera ProcessGUID e GUID de sessão para correlação de eventos. * Registro de carregamento de drivers/DLLs com assinaturas e hashes. * Monitoramento opcional de conexões de rede (inclui processo, IPs, portas e nomes). * Detecção de alteração de timestamps de criação de arquivos. * Recarregamento automático da configuração quando alterada no Registro. * Filtragem dinâmica por regras para incluir/excluir eventos. * Captura desde o início da inicialização, incluindo atividades em modo kernel. Instalação e uso básico * Comandos principais: * Instalar: sysmon64 -i \[] * Atualizar configuração: sysmon64 -c \[] * Instalar manifesto: sysmon64 -m * Mostrar esquema: sysmon64 -s * Desinstalar: sysmon64 -u \[force] * Logs em Vista+ ficam em Applications and Services Logs/Microsoft/Windows/Sysmon/Operational; em sistemas mais antigos, no log System. * Use -accepteula para aceitar EULA automaticamente. Nem instalação nem desinstalação requerem reinício. Eventos gerados (resumo dos tipos relevantes) * ID 1: ProcessCreate — criação de processo com linha de comando, hashes e ProcessGUID. * ID 2: FileCreateTime — processo alterou a hora de criação de arquivo. * ID 3: NetworkConnect — conexões TCP/UDP (desabilitado por padrão). * ID 5: ProcessTerminate — término de processo. * ID 6/7: DriverLoad / ImageLoad — driver ou módulo carregado (hashes/assinaturas). * ID 8: CreateRemoteThread — criação de thread remota (injeção de código). * ID 9: RawAccessRead — leitura raw de dispositivo (\\.). * ID 10: ProcessAccess — abertura/acesso a outro processo. * ID 11: FileCreate — arquivo criado/substituído. * IDs 12–14: eventos de registro (criação, alteração de valores, renomeação). * ID 15: FileCreateStreamHash — fluxos alternativos de arquivo criados (p.ex. Zone.Identifier). * IDs 16–29: outros eventos como alterações de configuração, pipes, WMI, DNS, exclusão de arquivos, clipboard, detecções de executáveis, proteções contra shredding, e erros (255). * ID 23 pode arquivar arquivos excluídos no diretório de arquivo (ArchiveDirectory, padrão C:\Sysmon). Arquivos e entradas de configuração * Sysmon usa arquivos XML de configuração (atributo schemaversion) para definir algoritmos de hash e regras de filtragem (EventFiltering). * Filtros permitem incluir/excluir eventos por campo (Image, CommandLine, DestinationPort, etc.) com condições (is, contains, begin with, end with, image, etc.). Excluições têm precedência; é possível combinar regras com RuleGroup (and/or). * Parâmetros de configuração controlam comportamento como ArchiveDirectory, CheckRevocation, CopyOnDeletePE, DnsLookup, HashAlgorithms, entre outros. * Comando -s imprime o esquema de configuração completo. Notas operacionais * Monitorar todos os eventos (p.ex. ImageLoad, ProcessAccess) pode gerar grande volume de logs — usar filtros adequados. * Alguns eventos dependem da versão do Windows (p.ex. DNSQuery adicionado a partir do Windows 8.1). * Eventos de erro (ID 255) indicam problemas do Sysmon (carga do sistema, bugs, ou falhas de segurança/integridade). Downloads e recursos * Baixar Sysmon (Windows): * Sysmon para Linux (GitHub): * Recurso adicional: módulo de treinamento “Conectar hosts do Windows ao Microsoft Sentinel” (link no artigo original). Autores e data * Por Mark Russinovich e Thomas Garnier — Publicado em 23 de julho de 2024. Se quiser, posso: * Gerar um resumo ainda mais curto (3–4 linhas). * Destacar apenas os comandos de instalação/remoção e exemplos práticos. * Converter os eventos mais importantes em uma tabela compacta para referência rápida. Qual prefere?