SysmonTools를 활용한 sysmon 로그 분석

보안프로젝트 매거진

nshalabi/SysmonTools

SysmonTools는 윈도우 이벤트 종합 로그라고 불리는 sysmon 로그를 좀 더 효율적으로 분석할 수 있는 “Sysmon Shell”과 “Sysmon View”두 개의 프로그램이 포함되어 있다. 이 도구를 활용하기 위해서는 sysmon 데몬이 실행되고 있어야 한다. sysmon은 윈도우 sysinternals에서 무료 배포되고 있다.

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

그림 1 35 sysmon 프로세스 동작 확인

sysmon 데몬이 실행되고 난 후에는 이벤트뷰에 로그가 기록된다. Sysmon View 도구에서 임포트(Import)하기 위해서는 XML 파일 형태로 변환해 저장되어야 한다. 그림 1 36과 같이 이벤트뷰 > sysmon 로그까지 선택한 뒤 “Save All Events As”를 클릭하여 저장한다.

 

그림 1 36 sysmon 이벤트에서 XML형태로 변환하기

이벤트를 XML파일로 저장 한 뒤에 Sysmon View의 File 메뉴에서 임포트(Import) 한다. 로그 용량에 따라 불러오는 시간이 소요된다.

 

그림 1 37 File 메뉴에서 Import 하기

임포트가 정상적으로 되면 그림 1 38과 같이 sysmon에 기록된 로그를 프로세스 플로우로 표현할 수 있으며, 프로세스 상세 정보를 이벤트 뷰어에 비해 효율적으로 활용하고 관리할 수 있다.

 

그림 1 38 프로세스 상세 정보 확인