Fale com um Especialista

🛡️ Sysmon: O Olho que o Windows Sempre Precisou

1 – O que e o Sysmon?

O Sysmon (System Monitor) e um servico de sistema e driver de kernel desenvolvido pela Microsoft como parte do Sysinternals Suite. Ele monitora e registra atividades criticas do sistema no Windows Event Log, oferecendo telemetria muito mais rica e granular do que os logs nativos do Windows fornecem por padrao.

Uma vez instalado, ele opera como um servico persistente em background — inicia automaticamente com o Windows, sobrevive a reinicializacoes e captura atividades desde os primeiros segundos do boot, incluindo malwares sofisticados a nivel de kernel.

💡  Analogia simples: Pense no Sysmon como uma camera de seguranca interna do Windows. Os logs nativos mostram que a porta abriu. O Sysmon mostra quem abriu, de onde veio, o que carregou e para onde foi.

Novidade importante: A Microsoft anunciou que o Sysmon sera integrado nativamente ao Windows 11 e Windows Server 2025, eliminando a necessidade de instalacao manual e garantindo atualizacoes automaticas via Windows Update.

2 – Por que o Sysmon e Indispensavel?

Os logs nativos do Windows tem lacunas criticas. Perguntas que surgem em toda investigacao de incidente:

  • “O PowerShell executou — mas para qual IP ele conectou?”
  • “Uma chave de registro foi modificada — qual processo fez isso?”
  • “Uma DLL suspeita foi carregada — quando? Por quem?”

O Sysmon responde exatamente a essas perguntas. Ele complementa — nao substitui — os logs nativos, fornecendo telemetria que o Windows simplesmente nao registra por padrao.

Comparativo rapido:

Capacidade

Log Nativo Windows

Sysmon

Criacao de processo

Basico (Event 4688)

Avancado (hash, cmdline, parent)

Conexao de rede por processo

Nao disponivel

Event ID 3

Carregamento de DLLs

Nao disponivel

Event ID 7

Acesso a memoria de processos

Nao disponivel

Event ID 10

Modificacoes de registro

Parcial

Events 12, 13, 14

DNS Queries por processo

Nao disponivel

Event ID 22

Process Hollowing/Tampering

Nao disponivel

Event ID 25

3 – Principais Event IDs e Casos de Uso em Seguranca

Event ID 1 – Process Creation

Captura criacao de processos com linha de comando completa, hashes (MD5, SHA1, SHA256, IMPHASH), processo pai e nivel de integridade.

Ataque detectado:  powershell.exe -nop -w hidden -enc SGVsbG8…
Execucao de PowerShell ofuscado em Base64 — classico de loaders de malware e ransomware.

Event ID 3 – Network Connection

Registra qual processo iniciou qual conexao, com IP de origem/destino, porta e protocolo. Essencial para rastrear servidores de C2 (Command & Control). Sem o Sysmon, voce ve o PowerShell executar. Com o Sysmon, voce ve para onde ele ligou.

Ataque detectado:  powershell.exe –> 185.220.101.45:4444
Reverse shell saindo pela rede.

Event ID 7 – Image Load (DLL)

Detecta DLL hijacking e side-loading, monitorando carregamento de DLLs nao assinadas ou de diretorios suspeitos como C:\Temp\ ou AppData.

Ataque detectado:  DLL maliciosa carregada em C:\Users\usuario\AppData\Roaming\
por um processo legitimo como explorer.exe

Event ID 8 – CreateRemoteThread

Detecta injecao de codigo em outros processos — tecnica usada por ferramentas como Mimikatz, Cobalt Strike e shellcode loaders.

Ataque detectado:  explorer.exe injetando codigo em lsass.exe
Sinal claro de tentativa de dump de credenciais.

Event ID 10 – Process Access (LSASS)

Monitora acessos a memoria de processos criticos. Detecta credential dumping via Mimikatz, ProcDump e variantes.

Ataque detectado:  GrantedAccess: 0x1410 em lsass.exe por processo nao autorizado
Acesso tipico de extracao de hashes NTLM.

Event ID 11 – File Create

Detecta drops de malware e ransomware — criacao de arquivos com extensoes perigosas (.exe, .ps1, .hta, .vbs) em diretorios temporarios.

Ataque detectado:  notepad.exe criando arquivo.ps1 em C:\Temp\
Drop de script malicioso apos exploracao.

Event ID 22 – DNS Query

Registra todas as consultas DNS por processo — fundamental para identificar dominios de C2 e exfiltracao via DNS tunneling.

Ataque detectado:  chrome.exe resolvendo: a7f3kqp.xyz
Dominio gerado algoritmicamente (DGA) — indicativo de comunicacao com botnet.

Event ID 25 – Process Tampering

Detecta Process Hollowing e Process Herpaderping — onde o atacante substitui o conteudo de um processo legitimo por codigo malicioso para evadir antivirus.

Ataque detectado:  svchost.exe com imagem em disco diferente da imagem em memoria
Indicativo de Process Hollowing.

4 – Entendendo o Arquivo de Configuracao XML

O Sysmon e totalmente controlado por um arquivo XML. Sem uma boa configuracao, ele pode gerar ruido excessivo ou deixar passar eventos criticos. A seguir, um exemplo comentado linha por linha para facilitar o entendimento:

<!– ============================================================ –>

<!–  EXEMPLO DE CONFIGURACAO SYSMON – DIDATICO                   –>

<!–  Baseado no schema v4.82 (Microsoft Learn)                   –>

<!– ============================================================ –>

<Sysmon schemaversion=”4.82″>

  <!– HASHES: Quais algoritmos usar para identificar arquivos     –>

  <!– O asterisco (*) ativa TODOS: MD5, SHA1, SHA256 e IMPHASH   –>

  <!– IMPHASH identifica malwares por suas importacoes de API,    –>

  <!– mesmo que o arquivo seja renomeado                          –>

  <HashAlgorithms>*</HashAlgorithms>

  <!– Verifica se certificados digitais foram revogados           –>

  <!– Ajuda a detectar drivers assinados com certs comprometidos  –>

  <CheckRevocation/>

  <EventFiltering>

    <!– EVENT ID 1 – CRIACAO DE PROCESSO                          –>

    <!– onmatch=”exclude”: loga TUDO, exceto o que listar abaixo  –>

    <ProcessCreate onmatch=”exclude”>

      <Image condition=”is”>C:\Windows\System32\wuauclt.exe</Image>

      <Image condition=”begin with”>

        C:\Program Files\Windows Defender\

      </Image>

    </ProcessCreate>

    <!– EVENT ID 3 – CONEXOES DE REDE                             –>

    <!– onmatch=”include”: so loga processos que nao deveriam     –>

    <!– fazer conexoes de rede (Word, Excel, Notepad…)          –>

    <NetworkConnect onmatch=”include”>

      <Image condition=”end with”>WINWORD.EXE</Image>

      <Image condition=”end with”>EXCEL.EXE</Image>

      <Image condition=”end with”>POWERPNT.EXE</Image>

      <!– Porta 4444 = Metasploit reverse shell                   –>

      <DestinationPort condition=”is”>4444</DestinationPort>

      <DestinationPort condition=”is”>1337</DestinationPort>

    </NetworkConnect>

    <!– EVENT ID 7 – CARREGAMENTO DE DLL                          –>

    <!– Apenas DLLs NAO assinadas digitalmente                    –>

    <ImageLoad onmatch=”include”>

      <Signed condition=”is”>false</Signed>

    </ImageLoad>

    <!– EVENT ID 10 – ACESSO A MEMORIA DE PROCESSOS               –>

    <!– Foco no LSASS: processo que armazena credenciais          –>

    <ProcessAccess onmatch=”include”>

      <TargetImage condition=”end with”>lsass.exe</TargetImage>

    </ProcessAccess>

    <!– EVENT ID 11 – CRIACAO DE ARQUIVOS                         –>

    <!– Executaveis e scripts em locais suspeitos                 –>

    <FileCreate onmatch=”include”>

      <TargetFilename condition=”contains”>\Temp\</TargetFilename>

      <TargetFilename condition=”contains”>\AppData\Roaming\</TargetFilename>

      <TargetFilename condition=”end with”>.exe</TargetFilename>

      <TargetFilename condition=”end with”>.ps1</TargetFilename>

      <TargetFilename condition=”end with”>.hta</TargetFilename>

      <TargetFilename condition=”end with”>.vbs</TargetFilename>

    </FileCreate>

    <!– EVENT IDs 12/13/14 – REGISTRO (REGISTRY)                 –>

    <!– Persistencia via Run Keys = tecnica mais usada            –>

    <RegistryEvent onmatch=”include”>

      <TargetObject condition=”contains”>\CurrentVersion\Run</TargetObject>

      <TargetObject condition=”contains”>

        \CurrentControlSet\Services\

      </TargetObject>

      <TargetObject condition=”contains”>\Environment\</TargetObject>

    </RegistryEvent>

    <!– EVENT ID 22 – DNS QUERIES                                 –>

    <!– Loga tudo, exceto dominios legitimos de alto volume       –>

    <DnsQuery onmatch=”exclude”>

      <QueryName condition=”end with”>.microsoft.com</QueryName>

      <QueryName condition=”end with”>.windows.com</QueryName>

      <QueryName condition=”end with”>.google.com</QueryName>

    </DnsQuery>

    <!– EVENT ID 25 – PROCESS TAMPERING                           –>

    <!– Detecta Process Hollowing e Herpaderping                  –>

    <!– Sempre ativo — baixo volume, alto valor                   –>

    <ProcessTampering onmatch=”include”/>

  </EventFiltering>

</Sysmon>

Logica de Filtragem — Entenda de Uma Vez

A parte mais confusa para quem esta comecando e o atributo onmatch. Funciona assim:

onmatch=

Significado

Quando usar

“exclude”

Loga TUDO, exceto o que voce listar

Eventos criticos (Process Create) — nao quer perder nada

“include”

Loga APENAS o que voce listar

Eventos ruidosos (Network, File) — quer ser cirurgico

Dica:  Regra pratica: Para eventos de alto risco (Criacao de Processo, LSASS Access), use exclude e filtre apenas ruidos conhecidos. Para eventos de alto volume (DNS, File Create), use include e liste apenas o que importa.

5 – Como Instalar em 3 Passos

# Passo 1: Baixe o Sysmon (Microsoft Sysinternals)

# https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon

# Passo 2: Instale com sua config XML (como Administrador)

sysmon64.exe -accepteula -i sysmon-config.xml

# Passo 3: Atualize a config quando necessario

sysmon64.exe -c sysmon-config.xml

Os logs ficam disponiveis em:

Event Viewer > Applications and Services Logs

> Microsoft > Windows > Sysmon > Operational

6 – Integracao com SIEM

Os eventos gerados pelo Sysmon podem ser ingeridos por qualquer SIEM moderno:

  • Microsoft Sentinel — integracao nativa
  • Splunk — via Universal Forwarder
  • Elastic/ELK — suporte nativo com dashboards prontos
  • Wazuh — regras de deteccao pre-configuradas para Sysmon
  • IBM QRadar — casos de uso para Mimikatz, Lateral Movement e BadRabbit

7 – Configs Prontas da Comunidade

Nao precisa criar do zero — use estas como base e ajuste ao seu ambiente:

Projeto

URL

Descricao

SwiftOnSecurity/sysmon-config

github.com/SwiftOnSecurity/sysmon-config

A mais popular, +5k stars, totalmente comentada. Otimo ponto de partida.

olafhartong/sysmon-modular

github.com/olafhartong/sysmon-modular

Abordagem modular: ative/desative por tecnica do MITRE ATT&CK.

Neo23x0/sysmon-config

github.com/Neo23x0/sysmon-config

Versao reforcada para ambientes corporativos.

8 – Conclusao

O Sysmon e uma das ferramentas mais valiosas — e gratuitas — do arsenal defensivo Windows. Ele transforma logs basicos em telemetria forense de nivel enterprise, habilitando Threat Hunting, Incident Response e deteccao de ataques avancados que passariam completamente despercebidos com os logs nativos.

Com a integracao nativa ao Windows 11 e Windows Server 2025 sendo implementada em 2026, a barreira de entrada caiu ainda mais. Nao ha mais desculpa para nao te-lo em producao.

“Voce nao pode defender o que nao consegue ver.”
— Principio fundamental de Visibility-First Security

Ficou com duvida ou quer fala com um especialista, clique no botão abaixo.

Fale com um Especialista

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Compartilhar:

Related Posts

Produzido por  GDPR Cookie Compliance
Visão geral da Privacidade

Este site usa cookies para que possamos oferecer a você a melhor experiência de usuário possível. As informações de cookies são armazenadas em seu navegador e desempenham funções como reconhecê-lo quando você retorna ao nosso site e ajudar nossa equipe a entender quais seções do site você considera mais interessantes e úteis.