{"id":219018,"date":"2019-06-11T08:50:50","date_gmt":"2019-06-11T06:50:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219018"},"modified":"2020-09-12T12:43:25","modified_gmt":"2020-09-12T10:43:25","slug":"sysinternals-sysmon-mit-dns-query-protokollierung-kommt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/11\/sysinternals-sysmon-mit-dns-query-protokollierung-kommt\/","title":{"rendered":"Sysinternals Sysmon mit DNS Query-Protokollierung kommt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/06\/11\/sysinternals-sysmon-with-dns-query-logging-comes-today\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Am heutigen Dienstag will Mark Russinovich eine neue Version seines in den Sysinternals-Tools enthaltenen Sysmon freigegeben. Das kann dann DNS-Abfragen protokollieren.<\/p>\n<p><!--more--><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/1de61e4c8c5b44f29b9764924f2d81b1\" alt=\"\" width=\"1\" height=\"1\" \/>Viel an Informationen liegt noch nicht vor \u2013 ich bin gerade auf <a href=\"https:\/\/twitter.com\/markrussinovich\/status\/1137466538322042880\" target=\"_blank\" rel=\"noopener noreferrer\">einen Tweet<\/a> von Mark Russinovich vom Wochenende gesto\u00dfen, wo er die neue Version ank\u00fcndigt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Sysmon with DNS query logging and original file name reporting will publish on Tuesday. <a href=\"https:\/\/t.co\/0nTKJahjSe\">pic.twitter.com\/0nTKJahjSe<\/a><\/p>\n<p>\u2014 Mark Russinovich (@markrussinovich) <a href=\"https:\/\/twitter.com\/markrussinovich\/status\/1137466538322042880?ref_src=twsrc%5Etfw\">8. Juni 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das Tool loggt nicht nur die DNS-Anfragen sondern auch die R\u00fcckmeldungen des jeweiligen DNS-Servers. Sicherheitsforscher @SwiftOnSecurity hat sich <a href=\"https:\/\/twitter.com\/SwiftOnSecurity\/status\/1136075688488947713\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> bereits lobend \u00fcber das Tool ausgelassen.<\/p>\n<blockquote><p>Erg\u00e4nzung:\u00a0 Das Tool ist jetzt erschienen.<\/p><\/blockquote>\n<h2>Hintergrund: Sysinternals Tools<\/h2>\n<p>Die Sysinternals-Suite ist eine Sammlung an Tools f\u00fcr Windows, mit denen man verschiedenes erledigen kann. Die Tools der kostenlosen Sysinternals-Suite lassen sich auf <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysinternals-suite\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Webseite<\/a> abrufen. Noch ist die aktualisierte Version von Sysmon aber noch nicht verf\u00fcgbar (der Stand ist 18. Februar 2019).<\/p>\n<blockquote><p>PS: Es sind \u00fcbrigens interessante Diskussionen, die sich um <a href=\"https:\/\/twitter.com\/markrussinovich\/status\/1137466538322042880\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Tweet<\/a> entsponnen haben. Das Einzige, was mich nervt, sind die typischen animierten GIF-Memes, die bei so etwas immer auftauchen.<\/p><\/blockquote>\n<h2>Weitere Erg\u00e4nzungen<\/h2>\n<p>Dieser <a href=\"https:\/\/blog.xpnsec.com\/evading-sysmon-dns-monitoring\/\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag<\/a> besch\u00e4ftigt sich mit dem Thema, wie DNS-Anfragen mit dem Tool behandelt werden k\u00f6nnen \u2013 der Hinweis ist mir per Tweet untergekommen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">A quick blog post looking at how Sysmon DNS monitoring works, and how this can potentially be evaded during an engagement. <a href=\"https:\/\/t.co\/zxPzQj7PxT\">https:\/\/t.co\/zxPzQj7PxT<\/a><\/p>\n<p>\u2014 Adam Chester (@_xpn_) <a href=\"https:\/\/twitter.com\/_xpn_\/status\/1140028840619708416?ref_src=twsrc%5Etfw\">15. Juni 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Sysmon scheint sich wohl als Tool f\u00fcr die \u00dcberwachung sicherheitsrelevanter Aktivit\u00e4ten zu eignen, wie der Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/sysinternals-sysmon-in-azure-sentinel-verwenden\/\" rel=\"bookmark\">Sysinternals Sysmon in Azure Sentinel verwenden<\/a> zeigt. Zudem wurden weitere Sysinternals-Tools aktualisiert.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/16\/neue-sysinternals-tools\/\" rel=\"bookmark\">Neue Sysinternals-Tools<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/sysinternals-sysmon-in-azure-sentinel-verwenden\/\" rel=\"bookmark\">Sysinternals Sysmon in Azure Sentinel verwenden<\/a><\/p>\n<h2 class=\"entry-title\"><\/h2>\n","protected":false},"excerpt":{"rendered":"<p>[English]Am heutigen Dienstag will Mark Russinovich eine neue Version seines in den Sysinternals-Tools enthaltenen Sysmon freigegeben. Das kann dann DNS-Abfragen protokollieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7459],"tags":[7604,3659],"class_list":["post-219018","post","type-post","status-publish","format-standard","hentry","category-software","tag-sysinternals","tag-tool"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219018","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219018"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219018\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219018"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219018"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219018"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}