项目地址

https://github.com/olafhartong/sysmon-parser

sysmon-parser

Azure Sentinel自动生成的Sysmon解析器

可以将Sysmon-AllVersions_Parser.txt作为函数加载到Azure Sentinel中以解析所有事件。

有一个Azure Devops管道每天会触发，安装最新的Sysmon版本，提取模式并使用所有唯一字段填充解析器。

也可以在安装了Sysmon的计算机上本地运行PowerShell脚本。

小编记录

这个Github项目是一个自动生成的Sysmon解析器，用于Azure Sentinel。

作用：

• 解析Sysmon日志，将其转换为易于理解的格式，以便在Azure Sentinel中进行分析和监控。

技术用途：

• Sysmon是一种系统监视工具，它可以监控Windows操作系统中的各种活动，并将其记录为事件日志。
• Azure Sentinel是一个云原生的安全信息和事件管理（SIEM）解决方案，可以通过集成各种数据源来提供安全监控和威胁检测功能。
• 此项目使用Azure Sentinel中的自定义函数来解析Sysmon日志，并将其转换为易于分析的格式。
• 项目还提供了一个Azure Devops管道，用于自动安装最新的Sysmon版本，并将其提取出来的模式用于更新解析器。
• 此外，该项目还提供了一个PowerShell脚本，可以在本地运行，用于解析安装了Sysmon的计算机上的日志。

标签：工具分享