Sysmon

Sysmon est une application officielle de Microsoft permettant de surveiller l'état et les événements du système. Grâce à elle, tu peux garder un contrôle détaillé des événements système, tels que la création de processus, les connexions réseau, la création et la suppression de fichiers, etc.

Le programme est installé via la ligne de commande. Pour l'installer, tu devras ouvrir CMD.exe en tant qu'administrateur sur le chemin où tu as installé le programme. Après cela, entre la commande sysmon -i pour l'installer.

De là, vas dans l'observateur d'événements de Windows. Ensuite, vas dans le chemin Applications and Services Logs/Microsoft/Windows/Sysmon/Operational. Là, tu peux voir tous les événements qui se produisent sur le système. Les événements de processus que le programme est capable d'enregistrer sont les suivants :

1 ProcessCreate - Processus de création

2 FileCreateTime - Heure de création du fichier

3 NetworkConnect - Connexion réseau détectée

4 Changement de l'état de service de Sysmon (ne peut être filtré)

5 ProcessTerminate - Processus terminé

6 DriverLoad - Pilote chargé

7 ImageLoad - Image téléchargée -

8 CreateRemoteThread - Détection de CreateRemoteThread

9 RawAccessRead - RawAccessRead détecté

10 ProcessAccess - Accès au processus

11 FileCreate - Fichier créé

12 RegistryEvent - Objet du registre ajouté ou supprimé

13 RegistryEvent - Valeur du registre fixée

14 RegistryEvent - Nom modifié de l'objet de registre

15 FileCreateStreamHash - Flux de fichiers créé

16 Paramètres de Sysmon modifiés (ne peut être filtré)

17 PipeEvent - Pipeline nommé créé

18 PipeEvent - Connecté à un pipeline nommé

19 WmiEvent - Filtre WMI

20 WmiEvent - Consommateur WMI

21 WmiEvent - Filtre du consommateur WMI

22 DNSQuery - DNS interrogé

23 FileDelete - Suppression des fichiers archivés

24 ClipboardChange - Nouveau contenu ajouté au presse-papiers

25 ProcessTampering - Image du processus modifiée

26 FileDeleteDetected - Fichier enregistré supprimé