lunes, 28 de marzo de 2022

Sysmon Event Simulator

 Estimados amigos de Inseguros !!!

Largo y tendido sobre sysmon escrito hemos he...xD

En esta ocasión vamos a mostrar una herramienta ligera que nos va a ayudar en nuestros procesos de detección. La herramienta simplemente nos pide el id del evento que generemos generar, y lo realiza, para comprobar que nuestro Sysmon, y en consecuencia nuestras reglas sobre él: Splunk, Sentinel, etc están funcionando como cabría de esperar.

Crear procesos que levanten una DNS query son sencillos, pero quizás otros no sean tan cómodos de replicar, para testear la lógica.

La herramienta se puede descargar del proyecto del autor https://twitter.com/ScarredMonk con el nombre de SysmonSymulator.

Compilamos la solución y con el exe, procedemos a actuar.

Probamos generar "ruido" con procesos como conectar una canalización por nombre ( comunicación de procesos nativa de Windows).


Y así hasta generar todo el ruido que necesitamos.

Espero que te sirva para tus procesos, y mirar el código no tiene desperdicio por si queremos cambiar al gún nombre o valor y simular un poco más con detalle alguna maldad xDDD

Gracias por leerme y gracias al autor por su trabajo.

No hay comentarios:

Publicar un comentario

Gracias por comentar !!