{"id":214042,"date":"2019-01-24T06:52:21","date_gmt":"2019-01-24T05:52:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=214042"},"modified":"2024-02-11T19:21:17","modified_gmt":"2024-02-11T18:21:17","slug":"sysinternals-sysmon-8-0-0-im-einsatz-auf-8-0-4-updaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/01\/24\/sysinternals-sysmon-8-0-0-im-einsatz-auf-8-0-4-updaten\/","title":{"rendered":"Sysinternals Sysmon 8.0.0 im Einsatz? Auf 8.0.4 updaten!"},"content":{"rendered":"

Noch ein kurzer Tipp f\u00fcr Admins, die Sysmon aus den Sysinternals-Tools zur System\u00fcberwachung verwenden. In der Version 8.0.0 gibt es ein Memory-Leak, welches in der aktualisierten Version 8.0.4 beseitigt wurde.<\/p>\n

<\/p>\n

Ein kurzer Blick auf Sysmon<\/h2>\n

Sysmon<\/a> ist Bestandteil der kostenlosen Sysinternals-Tools<\/a> von Microsoft. Das Tool ist zur Systemanalyse ganz hilfreich. Laut Beschreibung stellt es folgende Funktionalit\u00e4t bereit:<\/p>\n

System Monitor (Sysmon) ist ein Windows-Systemdienst und Ger\u00e4tetreiber, der, sobald er auf einem System installiert ist, \u00fcber Systemneustarts hinweg resident bleibt, um Systemaktivit\u00e4ten zu \u00fcberwachen und im Windows-Ereignisprotokoll zu protokollieren.<\/p><\/blockquote>\n

Sysmon liefert detaillierte Informationen \u00fcber Netzwerkverbindungen, Prozesserstellungen und \u00c4nderungen der Dateierstellungszeit. Indem man die von Sysmon erzeugten Ereignisse mit Hilfe von Windows Event Collection oder SIEM-Agenten sammelt und anschlie\u00dfend analysiert, lassen sich b\u00f6sartige oder anomale Aktivit\u00e4ten identifizieren, um zu verstehen, wie Eindringlinge und Malware im Netzwerk arbeiten.<\/p>\n

Allerdings kann Sysmon weder eine Analyse der von ihm erzeugten Ereignisse durchf\u00fchren, noch sich vor Angreifern sch\u00fctzen oder verstecken.<\/p><\/blockquote>\n

Ein Memory-Leak in Sysmon 8.x<\/h2>\n

Bleeping Computer berichtet hier<\/a> von einem Problem in Sysmon 8.x. In der neuesten Version des Dienstprogramms Sysmon existiert ein Speicherleck, das dazu f\u00fchren k\u00f6nnte, dass einem Computer der Speicher ausgeht. Dann st\u00fcrzt der Computer ab, sobald er seine Konfigurationsdatei routinem\u00e4\u00dfig durch eine geplante Aufgabe oder auf andere Weise aktualisiert. Der Bug wird bereits seit Sommer 2018 in diesem Forenthread<\/a> diskutiert. Er wird nur bemerkt, wenn Sysmon sehr lange (30 Tage) in Server-Umgebungen l\u00e4uft.<\/p>\n

\n

Heads up admins if you still run sysmon 8.0.0 and you run a scheduled task to update the sysmon config each reload will use approximately 15mb of ram, after 30 days it will max out memory on your servers if they dont reboot. Memory is locked in non-paged pool. 8.0.4 resolves<\/p>\n

\u2014 \u026f\u0279o\u0287suo\u0131 (@ionstorm) 23. Januar 2019<\/a><\/p><\/blockquote>\n