Microsoft đã phát hành công cụ Sysmon 10 vào ngày hôm nay và đi kèm với đó là tính năng ghi nhật ký truy vấn DNS (DNS Query Logging) vốn đã được mong đợi từ lâu. Theo đó, tính năng này sẽ cho phép người dùng Sysmon ghi nhật ký các truy vấn DNS thực hiện trên máy tính được theo dõi, đồng thời điều này cũng sẽ bao gồm cả việc thực thi truy vấn.
Nếu bạn chưa biết thì Sysmon (hay còn gọi là) System Monitor là một công cụ Sysiternals cho phép người dùng giám sát một số hoạt động nhất định trên máy tính và ghi thông tin về các hoạt động đó vào Windows Event Viewer.
Để tải Sysmon 10 về máy, bạn có thể truy cập vào trang web của Sysiternal hoặc tải xuống từ địa chỉ https://live.sysi INTERNals.com/sysmon.exe. Sau khi phần mềm được tải xuống thành công, bạn cần phải chạy nó trong comand prompt nâng cao (comand prompt với quyền quản trị), bởi công cụ này yêu cầu đặc quyền quản trị thì mới có thể khởi chạy được.
Sysmon 10.0
Nếu chạy một cách đơn giản mà không có bất kỳ đối số nào, chương trình sẽ hiển thị thông tin sử dụng của nó và để biết thêm thông tin chi tiết, bạn có thể truy cập vào trang web Sysiternals của Sysmon.
Theo mặc định, Sysmon sẽ giám sát các thông tin cơ bản như tạo quy trình và sửa đổi thời gian tệp. Tuy nhiên, bạn cũng có thể định cấu hình cho công cụ này để giám sát các sự kiện khác như tải trình điều khiển, tạo tệp, sự kiện Registry và nhiều tính năng khác nữa.
Có một điểm mới rất đáng chú ý trong Sysmon 10.0, đó là Microsoft đã bổ sung thêm khả năng giám sát các truy vấn DNS và tệp thực thi đã thực hiện truy vấn. Tính năng này sẽ cần được kích hoạt thông qua tệp cấu hình với chỉ thị DNSQuery.
Một ví dụ về tệp cấu hình rất cơ bản cho phép ghi nhật ký truy vấn DNS được hiển thị bên dưới. Tệp cấu hình này có thể được cài đặt bằng sysmon.exe -i config.xml trong trường hợp sysmon chưa được cài đặt, hoặc sysmon.exe -c config.xml, trong trường hợp sysmon đã chạy.
Kích hoạt tính năng ghi nhật ký DNSQuery
Khi Sysmon được khởi động với tệp cấu hình ở trên, nó sẽ bắt đầu ghi nhật ký các sự kiện truy vấn DNS (DNS Query) vào mục Applications and Services Logs/Microsoft/Windows/Sysmon/Operational trong Event Viewer.
Dưới đây bạn có thể thấy một ví dụ về việc Chrome thực hiện truy vấn DNS cho địa chỉ www.bleepingcomputer.com khi chúng ta truy cập vào trang web này.
Ví dụ về ghi nhật ký truy vấn DNS
Ví dụ trên chỉ là một nét phác họa nhỏ cho bức tranh tổng thể về những gì mà System Monitor có thể làm được. Nếu bạn muốn tìm hiểu cách sử dụng phần mềm này, tôi thực sự khuyên bạn nên đọc tài liệu trên trang Sysiternals.
Trong trường hợp bạn chỉ muốn truy cập và sử dụng tệp cấu hình Sysmon có sẵn để phát hiện lưu lượng truy cập độc hại và các mối đe dọa, bạn có thể sử dụng luôn tệp cấu hình Sysmon của SwiftOnSecurity trên GitHub.