Co to jest Microsoft Sentinel i jaką pełni rolę w monitorowaniu środowiska Windows
Sprawdź darmową edukację z cyberbezpieczeństwa ↓

Co to jest Microsoft Sentinel i jaką pełni rolę w monitorowaniu środowiska Windows

Poznajcie Microsoft Sentinel oraz Sysmon do monitorowania i analizy logów wspierające wykrywanie, reagowanie i neutralizację zagrożeń.

Wyzwania bezpieczeństwa w środowisku Windows

W dzisiejszym świecie cyfrowym, bezpieczeństwo sieci stało się jednym z najważniejszych aspektów zarządzania systemami informatycznymi. Narzędzia takie jak Sysmon z pakietu Sysinternals i Microsoft Sentinel przy odpowiedniej konfiguracji mogą odegrać znaczącą rolę w wykrywaniu i reagowaniu na współczesne zagrożenia na wczesnym etapie. W tym i następnych artykułach z serii o integracji Microsoft Sentinel z Sysmon  zbadamy możliwości integracji tych dwóch kompleksowych narzędzi w celu zwiększenia efektywności monitorowania i reagowania na zagrożenia w środowisku IT. Zastanowimy się nad zawartością i wartością informacyjną zdarzeń poszczególnych kategorii zbieranych przez narzędzie Sysmon. 


Rola integacji Microsoft Sentinel z Sysmon

Sysmon, istotny i rozwijany na bieżąco składnik pakietu Sysinternals stworzonego przez Marka Russinovicha i Bryce’a Cogswella, jest zaawansowanym narzędziem do monitorowania i zbierania informacji o aktywności systemowej w środowisku Windows ponad to, co notują standardowe logi systemowe. Z drugiej strony, Microsoft Sentinel to skalowalne, chmurowe rozwiązanie do zarządzania zagrożeniami, które korzysta z zaawansowanych technologii SIEM (Security Information and Event Management) i automatyzacji odpowiedzi - SOAR (Security Orchestration, Automation, and Response).


Integracja Sysmona z Microsoft Sentinel otwiera nowe możliwości dla administratorów systemów i specjalistów ds. bezpieczeństwa, umożliwiając im skorzystanie z zalet obu narzędzi. Zadaniem tego artykułu jest przedstawienie, jak te dwa systemy mogą współpracować, aby zapewnić lepszą ochronę, wykrywanie i reakcję na incydenty bezpieczeństwa.


Czym są narzędzia Microsoft Sentinel i Sysmon

Sysmon to zaawansowane narzędzie do monitorowania i zbierania informacji o aktywności systemowej w systemie Windows. Jest częścią pakietu Sysinternals. To narzędzie elastyczne i w pełni konfigurowalne. Zdarzenia można dostosować do potrzeb i skupić się na tych, które wnoszą wartość w procesie wykrywania i analizy. Dostrojenia Sysmona można doknać poprzez konfigurację w formacie .xml.  Poniżej przedstawiamy zestawienie funkcjonalności Sysmona według numeru ID zdarzenia występującego w kronice zdarzeń wraz z przykładami. Informacje te będą z pewnością użyteczne dla pracowników SoC związanych z cyberbezpieczeństwem. Artykuł zaciekawi też studentów kierunków informatycznych w obszarze cyberbezpieczeństwa. Znajdą też coś dla siebie zainteresowani rozszerzoną możliwością monitorowania systemów Windows i Linux.


Rejestrowanie procesów

Sysmon rejestruje tworzenie procesów wraz z pełną linią poleceń dla bieżących i nadrzędnych procesów. Pole ProcessGUID jest unikatową wartością dla tego procesu w cyklu jego życia, aby ułatwić korelację zdarzeń w sytuacji, w której ID procesu byłoby ponownie użyte.

Rysunek 1. Widok zdarzenia ID1 dotyczący utworzenia nowego procesu. Zawiera m. in. pełną składnię wywołującą proces oraz funkcję skrótu. Wiersz RuleName to nazwa reguły wykrywającej zdefiniowana w pliku xml.

Zmiana procesu tworzenia pliku

Zdarzenie dotyczące zmiany czasu tworzenia pliku jest rejestrowane, gdy czas tworzenia pliku jest jawnie modyfikowany przez inny proces. Aktywnością związaną z zacieraniem śladów po ataku może być zmiana czasu utworzenia pliku. Należy pamiętać, że wiele procesów legalnie zmienia czas tworzenia pliku. Niekoniecznie musi to wskazywać na złośliwe działanie, aczkolwiek jest to aktywność stosunkowo rzadka.
Rysunek 2 Przykładowe wykrycie zmiany daty utworzenia pliku przez zewnęrzny proces. W szczegółach zdarzenia widoczna jest data oryginalna oraz wartość po zmianie.

Bezpieczne połączenie sieciowe

Znajdują się tu połączenia TCP/UDP monitorowanego systemu. Aktywność na poszczególnych portach czy poszczególnych procesów można – jak pozostałe elementy odfiltrować w pliku xml. Każde połączenie jest powiązane z procesem za pośrednictwem właściwości ProcessId i ProcessGuid. Zdarzenie zawiera również źródłowe i docelowe nazwy hostów adresy IP wraz z numerami portów.
Rysunek 3 Przykład zdarzenia odnotowującego nawiązanie połączenia sieciowego - w tym przypadku połączenia RDP

Zmiana stanu usługi Sysmon

W tym przypadku odnotowuje się zatrzymanie i uruchomienie aktywności względem usługi Sysmon. Manipulacja przy statusie usługi może wskazywać na próbę ominięcia monitorowania jak i zatarcia śladów. Domyślnie blokowana jest próba zatrzymania usługi. Nawet po eskalacji uprawnień do użytkownika System.
Rysunek 4 Ilustracja zmianu stanu usługi Sysmon na uruchomioną po jej instalacji

Informacja o zakończeniu procesu

Poniżej informacja o zakończeniu cyklu życia procesu, dla którego wspólny jest numer GUID przypisany do procesu w momencie jego startu. Został odnotowany w zdarzeniu o ID 2. Może być użyty do śledzenia aktywności względem procesów wykonywanych przez konkretnych użytkowników w systemie, np. podczas analizy powłamaniowej.
Rysunek 5 Informacja o zamknięciu procesu przez konkretnego użytkownika

Informacja o załadowaniu sterownika

To informacja o załadowaniu na przykład biblioteki dynamicznej jako proces. Wskazuje on proces, w którym moduł jest ładowany, skróty i informacje o podpisie. Nie jest to wydarzenie konfigurowane domyślnie. To zdarzenie należy dokładnie skonfigurować, wskazując nazwy czy ścieżki wykorzystywane przy typowych atakach, ponieważ monitorowanie wszystkich zdarzeń ładowania obrazów spowoduje wygenerowanie znacznej ilości najczęściej bezużytecznych zdarzeń.
Rysunek 7 Informacja o załadowaniu obrazu biblioteki dynamicznej odpowiedzialnej za mechamizm Windows MAnagement Instrumentation (WMI)

Wykrycie wstrzyknięcia wątku dzięki Microsoft Sentinel

Podczas każdego profesjonalnie przygotowanego ataku hackerskiego jednym z celów jest zachowanie tajemnicy i ukrycie operacji przed tzw. Blue Teamem. Atakujący w tym celu różnych technik i procedur, od uzyskania początkowego dostępu po ukrywanie połączeń C2 i eksfiltrację danych. Pierwszym krokiem każdej kampanii jest uzyskanie wstępnego dostępu. Wykorzystują dostosowane złośliwe oprogramowanie do obchodzenia i omijania narzędzi obronnych wykrywających ataki takich jak chociażby antywirus. Process Injection to jedna z technik stosowanych w celu ominięcia mechanizmów obronnych. Zdalne wstrzykiwanie wątku (inaczej CreateRemoteThread) to jedna z prostych i niezawodnych technik podrzędnych. Działa poprzez wstrzyknięcie shellcodu (payloadu) do kontekstu innego kwalifikującego się procesu i tworzy wątek dla tego procesu w celu uruchomienia ładunku. Współczesne przeprowadzenie tego typu ataku są trudne do zasymulowania bowiem należą do łatwo wykrywalnych scenariuszy zachowania przez systemy antywirusowe. Aczkolwiek nie jest to niemożliwe. Tym bardziej należy mieć na uwadze skonfigurowane monitorowanie tego typu zdarzeń.
Rysunek 8 Przegląd właściwości zdarzenia o ID 8, dot. utworzenia nowego
Rysunek 9 Przegląd przykładowych filtrów dla zdarzenia ID 8. stanowiących nawiązanie do popularnych technik i procedur ataku z wykorzystaniem kontekstu tworzenia wątku w zdalnym procesie.

RawAccessRead w monitorowaniu dostępu do zasobów systemowych

Zdarzenie RawAccessRead wykrywa, gdy proces przeprowadza operacje odczytu z dysku przy użyciu notacji \\.\  Ta technika jest często używana przez złośliwe oprogramowanie do eksfiltracji obszaru danych plików, które są zablokowane do odczytu poprzez listy kontroli dostępu, a także w celu uniknięcia dostępu do plików narzędzi inspekcji. Sprawa dotyczy również odczytu pozostałości po usuniętych ważnych plikach, które nie zostały jeszcze nadpisane przez nowe dane. Zdarzenie wskazuje proces źródłowy i urządzenie docelowe.

Rysunek 10 Slad po próbie bezpośredniego odczytu z urządzenia \Device\HarddiskVolume3

Kontrola działania procesów dzięki ProcessAccess

ProcessAccess to kategoria zdarzeń utrwalająca fakt, iż proces uzyskiwał dostęp do adresów pamięci innych procesów. Umożliwia to wykrywanie narzędzi hakerskich, które odczytują zawartość pamięci procesów, takich jak Lsass.exe, winlogon.exe, wininit, services.exe, itd. Takie narzędzia służą do kradzieży poświadczeń wykorzystywanych w atakach typu Pass-the-Hash. Włączenie tej funkcji bez zastosowania szczegółowych filtrów spowoduje rejestrowanie znacznej ilości zdarzeń. Uzyskanie dostępu do pamięci procesów przez różne procesy w systemie jest zachowaniem naturalnym. Dlatego zazwyczaj należy to zrobić tylko za pomocą filtrów, które eliminują standardowe dostępy, a skupiają się na powszechnie znanych scenariuszach ataków typu „Credential dumping”. Współcześnie w znacznym stopniu są one ograniczane przez aktywność oprogramowania antywirusowego.

Rysunek 11 Ślad w postaci zdarzenia o ID 10 po dostępie do pamięci procesu lsass.exe
To jeszcze nie koniec analizy. Wrócimy do niej w kolejnym artykule. Zapraszamy do zapoznania się z produktami oraz usługami z obszaru Microsoft. Wystarczy kliknąć w poniższy baner.
Oceń blog:
Czas czytania: 11 min
Data: 08.05.2024

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej
1Security: Widoczność i kontrola Microsoft365

Microsoft 365 rozwija się każdego dnia - nowe zespoły, goście i udostępnienia pojawiają się szybciej, niż da się je kontrolować. Każdy z nich to potencjalne wejście dla nieautoryzowanego dostępu. Wrażliwe dane krążą po środowisku bez nadzoru, a Copilot może zobaczyć więcej, niż powinien. Brak pełnej widoczności to dziś nie tylko ryzyko, to prowokowanie incydentu.

141.14 PLN
Zobacz więcej
Trend Micro Cloud App Security

Trend Micro Cloud App Security

Trend Micro Cloud App Security to zaawansowana ochrona aplikacji chmurowych, takich jak Microsoft 365 i Google Workspace, zapewniająca skuteczną obronę przed phishingiem, ransomware i atakami BEC. Dzięki integracji z XDR oraz analizie zagrożeń w czasie rzeczywistym zabezpiecza udostępnianie plików i chroni dane firmowe przed cyberatakami.

Wycena indywidualna
Zobacz więcej
Warsztaty jednodniowe Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Nowość

Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Terminy ustalane są indywidualnie po osiągnięciu minimalnej liczby uczestników. Warsztaty odbywają się w formie ONLINE.

1722.00 PLN
Zobacz więcej