Sysmon

Sysmon est un outil Microsoft Sysinternals qui enrichit la journalisation Windows. Il aide à suivre les créations de processus, connexions réseau, modifications de fichiers, chargements de pilotes et autres événements utiles à la détection.

Pourquoi utiliser Sysmon

Les journaux Windows natifs sont utiles, mais Sysmon apporte souvent plus de détails pour comprendre ce qu'un processus a fait.

Sysmon peut aider à observer :

• création de processus
• ligne de commande
• parent du processus
• connexions réseau
• création de fichiers
• modification de registre
• chargement de pilotes
• événements WMI selon configuration

Événements utiles

Quelques événements souvent importants :

Le choix des événements dépend de la configuration Sysmon déployée.

Configuration

Sysmon fonctionne avec un fichier de configuration qui définit ce qui doit être journalisé ou ignoré.

Une bonne configuration cherche un équilibre :

• assez de détails pour détecter
• pas trop de bruit
• exclusions maîtrisées
• règles documentées
• tests avant déploiement global

Analyse utile

Pour un processus suspect, Sysmon peut aider à répondre :

• quel parent l'a lancé
• quelle ligne de commande a été utilisée
• quel utilisateur était concerné
• quelles connexions réseau ont suivi
• quels fichiers ont été créés
• quelles clés registre ont été modifiées

Risques de bruit

Sysmon peut générer beaucoup d'événements. Sans filtrage, stockage et stratégie de collecte, les journaux deviennent difficiles à exploiter.

Points à prévoir :

• volume de logs
• collecte centralisée
• rétention
• règles de détection
• exclusions validées
• supervision de l'agent

Bons réflexes

• tester sur un petit périmètre
• utiliser une configuration maintenue
• documenter les exclusions
• corréler avec EDR et SIEM
• surveiller les arrêts ou modifications de Sysmon
• relier les événements à des cas d'usage