Sysmon, uno degli strumenti più utilizzati da administrator e professionisti IT. Fa parte del pacchetto Sysinternal e permette di tenere traccia delle richieste DNS.
Fino ad ora, però, non veniva indicato il processo che aveva iniziato le query. Con l’ultima versione, come indicato da Mark Russinovich nel seguente tweet, questo dato molto importante sarà riportato.
Come si installa
Lo strumento è scaricabile dal sito ufficiale di Sysinternal (trovate il link diretto allo strumento a fine articolo) ed installabile dal prompt dei comandi.
Dopo averlo scaricato aprire il prompt dei comandi come amministratore, quindi recarsi nel percorso d’installazione e digitare:
sysmon.exe -i
Dopo la digitazione del comando vedremo la schermata come sopra.
Come verificare i log creati
Per verificare i log creati dallo strumento è necessario aprire il Visualizzatore Eventi (premendo i tasti WIN + X) quindi:
- aprire Registri Applicazioni e Servizi
- aprire il menù Microsoft
- aprire il sotto menù Windows
- cercare la voce Sysmon
- selezionare Operational
Nell’elenco compariranno i processi e le modifiche eseguite. Ad esempio se eseguiamo un ping al DNS Google vedremo una schermata simile a questa:
Con processo sorgente e IP di destinazione specificato. Questo tipo di applicativo sarà ampiamente usato da molti professioni IT e sicuramente sarà implementato da molti strumenti dedicati alla sicurezza informatica.
