Estimados amigos de Inseguros !!!
Largo y tendido sobre sysmon escrito hemos he...xD
En esta ocasión vamos a mostrar una herramienta ligera que nos va a ayudar en nuestros procesos de detección. La herramienta simplemente nos pide el id del evento que generemos generar, y lo realiza, para comprobar que nuestro Sysmon, y en consecuencia nuestras reglas sobre él: Splunk, Sentinel, etc están funcionando como cabría de esperar.
Crear procesos que levanten una DNS query son sencillos, pero quizás otros no sean tan cómodos de replicar, para testear la lógica.
La herramienta se puede descargar del proyecto del autor https://twitter.com/ScarredMonk con el nombre de SysmonSymulator.
Compilamos la solución y con el exe, procedemos a actuar.
Espero que te sirva para tus procesos, y mirar el código no tiene desperdicio por si queremos cambiar al gún nombre o valor y simular un poco más con detalle alguna maldad xDDD
Gracias por leerme y gracias al autor por su trabajo.
Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.