– Microsoft finalmente lanzó Sysmon 12, que viene con una serie de funciones útiles, una de las cuales es una función que registra y registra todos los datos agregados al Portapapeles de Windows. Por supuesto, esta función puede facilitar que los administradores rastreen o rastreen cuando ocurre un error hasta que haya un ataque al sistema.
Es posible que Sysmon no sea muy familiar para los oÃdos de los usuarios de Windows en general, porque en realidad es un sistema de monitoreo interno que los administradores suelen usar para monitorear su sistema. Sysmon es más comúnmente utilizado por los usuarios de back-end que por los usuarios finales.
Además, la actualización y adición de funciones en Sysmon versión 12 permite a los usuarios configurar para generar notas, cuando se ingresan o copian datos en el Portapapeles. Estos datos se almacenarán posteriormente en un archivo especial al que solo puede acceder el administrador para utilizarlos como material de evaluación en el futuro.
Hasta ahora, los piratas informáticos utilizan la función de copiar y pegar para copiar comandos largos cuando ingresan a un sistema. Por lo tanto, la existencia de esta función puede usarse como un medio para rastrear dicha actividad sospechosa.
Para usarlo, lo primero que debe hacer es descargar Sysmon 12 en la siguiente página.
A continuación, ejecute Sysmon mediante la aplicación del sÃmbolo del sistema con acceso de administrador. Los pasos para utilizarlo también son muy sencillos, ya que una vez ejecutado aparecerá un texto en forma de ayuda y una lista de los comandos disponibles.
Si no se da un comando especial, Sysmon comenzará a monitorear las actividades que ocurren en el sistema en general. Para habilitar la función de registro de actividad de copiar y pegar, cree un archivo con el siguiente comando de configuración:
Archivo de configuración
Luego ingrese el siguiente comando en el sÃmbolo del sistema:
sysmon -i sysmon.cfg.xml
Una vez activado, Sysmon comenzará a recopilar datos de grabación en silencio.
Los resultados de la grabación se pueden encontrar en un archivo en Registros de aplicaciones y servicios/Microsoft/Windows/Sysmon/Operational, utilizando el Visor de eventos. Y aparecerá asÃ:
Resultados del registro de eventos
A partir de estos resultados, se pueden ver todas las actividades sospechosas realizadas y qué comandos copiaron y pegaron los piratas informáticos. Sysmon también puede recuperarse si se elimina un archivo, incluida la grabación si los piratas informáticos la conocen.
