mym0us3r/Unified-Sysmon-Configs

# 🛡️ 统一 Sysmon Configs **企业级 Windows 遥测编排方案（原生与遗留）。针对 Wazuh、第三方 SIEM/XDR 平台以及主动威胁狩猎进行了优化。**        ## 💡 战略概览 端点可见性是现代检测工程（Detection Engineering）的基石。随着 **Windows 11 (24H2+)** 的发布，Sysmon 已转型为 **原生 OS 功能**，这从根本上改变了安全团队管理生命周期、更新和驱动程序稳定性的方式。 本仓库作为生产就绪配置的中心枢纽，旨在弥合传统 Sysinternals 部署与新的原生集成之间的差距。 ## 📘 精选文档：Sysmon 作为原生资源 本项目包含一份专业技术指南，旨在协助 SOC/CSIRT 团队迁移至原生遥测模型。

➔ Click here to view the Technical Guide (PDF)

### 指南核心要点： * **原生生命周期管理：** 利用 KB5077241 通过 Windows Update 实现自动更新。 * **企业级可扩展性：** 使用 `DISM` 和 PowerShell 进行全规模部署的策略。 * **高 ROI 遥测：** 精选的“十大”关键事件列表，以实现最大的可见性。 * **运行状况检查：** Schema 验证和配置审计流程。 ## 🔍 部署前与运行状况检查 使用这些多层验证方法验证 Sysmon 原生状态，以确保遥测完整性。 ### PowerShell 方法（自动化与审计） * **PowerShell：检查功能可用性和状态** - 适用于远程执行和全规模健康审计： ``` > Get-WindowsOptionalFeature -Online -FeatureName "Sysmon"``` * **快速“活动/非活动”检查** ` > $sysmonFeature = Get-WindowsOptionalFeature -Online -FeatureName "Sysmon" -ErrorAction SilentlyContinue if($sysmonFeature.State -eq "Enabled") { Write-Host "Sysmon Native is ACTIVE" -ForegroundColor Green } else { Write-Host "Sysmon Native is DISABLED" -ForegroundColor Red }` * **DOS：通过 DISM 检查功能状态** - 对于验证驱动程序是否附加到存储堆栈以及服务注册至关重要： ``` > Dism /Online /Get-FeatureInfo /FeatureName:Sysmon``` * **检查服务注册** ``` > sc query sysmon``` * **验证驱动程序附加（Kernel Minifilter）** ``` > fltmc filters | findstr "Sysmon" ``` SysmonDrv 7 385201 0 * **显示已应用的 XML 配置** ``` > "C:\Windows\System32\Sysmon.exe" -c``` Current configuration: - Service name: Sysmon - Driver name: SysmonDrv - Config file: C:\Windows\System32\Sysmon\config.xml - Config hash: SHA256=6F5C1404DC97F2CFC72E17CCB5849C339B4AAD2D77FE36D123709219423B3E66 - HashingAlgorithms: MD5,SHA256,IMPHASH - Network connection: enabled - Archive Directory: \Sysmon\ - Image loading: enabled - CRL checking: disabled - DNS lookup: enabled Rule configuration (version 4.91) Sysmon is running. * **C. 图形用户界面 (GUI)** 用于本地故障排除的手动验证步骤： 可选功能： ```打开 Settings > System > Optional Features``` 并确保 Sysmon 存在于“Installed features”列表中。 ```Services: 打开 services.msc``` 并验证 Sysmon 服务是否为“Running”且设置为“Automatic”。 * **事件查看器和验证：** 在以下位置确认日志摄入： ```Applications and Services Logs > Microsoft > Windows > Sysmon > Operational.```

Figure 1: Manual verification of Sysmon Native feature via Optional Features GUI and successful Event Viewer log ingestion.

### 仓库架构 # 遥测配置 /configs/native: 专为 Windows 11 原生 Sysmon 资源优化的 XML Schema。 /configs/legacy: 针对传统 sysmon.exe (Sysinternals) 部署的加固、可靠基线。 # 检测逻辑（Wazuh 规则集） * **ruleset/rules/wazuh-server-4.14**: 从实时 Wazuh 环境中提取的经生产验证的规则。 * **ruleset/rules/wazuh-official-repo**: 与最新的官方 Wazuh 安全内容保持一致。 # 操作工作流 * **选择基线：** 根据 Windows 版本（原生与遗留）从 /configs 中选择配置。 * **部署：** 利用技术指南中详述的原生配置方法（DISM/PowerShell）。 * **规则对齐：** 将您的 ```/var/ossec/etc/rules/``` 与本仓库中提供的自定义规则集同步，以消除遥测盲点。 ## [自动化健康审计](https://github.com/mym0us3r/Unified-Sysmon-Configs/blob/main/scripts/Check-SysmonHealth.ps1)（推荐） 要进行深入且自动化的遥测验证，请使用本仓库中包含的高级诊断脚本。它执行 8 层扫描，范围从二进制完整性到实时事件采样。 ### 脚本预览：  ### 如何运行： 1. 导航到 [`/scripts`](https://github.com/mym0us3r/Unified-Sysmon-Configs/tree/main/scripts) 文件夹。 2. 以**管理员**身份运行 PowerShell。 3. 运行以下命令以查看完整的诊断信息并在您的桌面上生成可选报告： ``` .\Check-SysmonHealth.ps1 -EventSampleCount 15 -ExportReport ``` ## 📊 Wazuh 发现：原生 Sysmon 集成 下面是 **Microsoft-Windows-Sysmon**（原生）事件摄入的真实预览。遥测数据被 Wazuh Manager 成功捕获、解码和索引，为 PowerShell 进程和文件系统活动提供了高保真的可见性。  ### 🔍 集成亮点： * **提供者**：`Microsoft-Windows-Sysmon`（官方 Windows 组件）。 * **解码数据**：对 `data.win.eventdata.targetFilename` 和 `data.win.eventdata.image` 拥有完全可见性。 * **安全上下文**：实时自动检测可执行文件投放和 PowerShell 脚本执行。 ### GOD，我的狗 Zeus 和我。 *为了力量，为了守护，为了代码* :)

标签：AI合规, CSIRT, GitHub Advanced Security, IPv6, Libemu, PowerShell, RFI远程文件包含, SQL, Sysinternals, Sysmon, Wazuh, Windows 11, Windows Server 2025, Windows 安全, 企业安全, 原生安全, 安全加固, 安全遥测, 构建工具, 系统审计, 网络安全审计, 网络资产管理