Sysmon: le richieste DNS ora indicheranno anche il processo sorgente

Sysmon, uno degli strumenti più utilizzati da administrator e professionisti IT. Fa parte del pacchetto Sysinternal e permette di tenere traccia delle richieste DNS.

Fino ad ora, però, non veniva indicato il processo che aveva iniziato le query. Con l’ultima versione, come indicato da Mark Russinovich nel seguente tweet, questo dato molto importante sarà riportato.

Come si installa

Lo strumento è scaricabile dal sito ufficiale di Sysinternal (trovate il link diretto allo strumento a fine articolo) ed installabile dal prompt dei comandi.

Dopo averlo scaricato aprire il prompt dei comandi come amministratore, quindi recarsi nel percorso d’installazione e digitare:

sysmon.exe -i
Sysmon installato!
Sysmon installato!

Dopo la digitazione del comando vedremo la schermata come sopra.

Come verificare i log creati

Per verificare i log creati dallo strumento è necessario aprire il Visualizzatore Eventi (premendo i tasti WIN + X) quindi:

  • aprire Registri Applicazioni e Servizi
  • aprire il menù Microsoft
  • aprire il sotto menù Windows
  • cercare la voce Sysmon
  • selezionare Operational

Nell’elenco compariranno i processi e le modifiche eseguite. Ad esempio se eseguiamo un ping al DNS Google vedremo una schermata simile a questa:

Processo sorgente e IP di destinazione
Processo sorgente e IP di destinazione

Con processo sorgente e IP di destinazione specificato. Questo tipo di applicativo sarà ampiamente usato da molti professioni IT e sicuramente sarà implementato da molti strumenti dedicati alla sicurezza informatica.

Seguimi

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica.

In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino.

In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.
Elvis
Seguimi
(Visited 22 times, 1 visits today)
Ad
Leggi  Quali sono gli obiettivi più vulnerabili nella Cyber Security?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *