Sysmon

O Sysmon é um aplicativo oficial da Microsoft para monitorar o estado e os eventos do sistema. Com ele, você pode controlar detalhadamente os eventos do sistema, como a criação de processos, conexões de rede, criação e exclusão de arquivos, entre outros.

O programa é instalado via linha de comando. Para instalá-lo, você precisará abrir o CMD.exe como administrador no caminho onde o programa foi instalado. Após isso, insira o comando sysmon -i para realizar a instalação.

A partir daí, acesse o Visualizador de Eventos do Windows. Em seguida, vá para o caminho Logs de Aplicativos e Serviços/Microsoft/Windows/Sysmon/Operational. Ali, você poderá ver todos os eventos que ocorrem no sistema. Os eventos de processo que o programa é capaz de registrar são os seguintes:

1 ProcessCreate - Criação de processo

2 FileCreateTime - Horário de criação de arquivo

3 NetworkConnect - Conexão de rede detectada

4 Alteração do status de serviço do Sysmon (não pode ser filtrado)

5 ProcessTerminate - Processo encerrado

6 DriverLoad - Driver carregado

7 ImageLoad - Imagem carregada

8 CreateRemoteThread - CreateRemoteThread detectado

9 RawAccessRead - RawAccessRead detectado

10 ProcessAccess - Processo acessado

11 FileCreate - Arquivo criado

12 RegistryEvent - Objeto de registro adicionado ou excluído

13 RegistryEvent - Valor do registro definido

14 RegistryEvent - Nome do objeto de registro alterado

15 FileCreateStreamHash - Fluxo de arquivo criado

16 Alteração das configurações do Sysmon (não pode ser filtrado)

17 PipeEvent - Pipeline nomeado criado

18 PipeEvent - Conectado ao pipeline nomeado

19 WmiEvent - Filtro WMI

20 WmiEvent - Consumidor WMI

21 WmiEvent - Filtro de consumidor WMI

22 DNSQuery - Consulta de DNS

23 FileDelete - Arquivos arquivados excluídos

24 ClipboardChange - Novo conteúdo adicionado à área de transferência

25 ProcessTampering - Imagem do processo alterada

26 FileDeleteDetected - Arquivo excluído registrado