Detection of Malicious Behavior in Sysmon Audit Events – Bc. Roman Chrenšť

Abstract:

Cieľom tejto práce je analyzovať metódy detekcie škodlivého správania v logoch udalostí nástroja Sysmon a implementovať prototyp nástroja, ktorý umožňuje tieto metódy aplikovať na historické dáta v SQL databáze. Analyzujeme udalosti vytvorené nástrojom Sysmon na operačných systémoch Windows a Linux. Pomocou MITRE ATT&CK následne zisťujeme, ktoré bežne používané taktiky, techniky a procedúry možno detegovať v logoch udalostí nástroja Sysmon. Taktiež zisťujeme aké stratégie detekcie by sa mali použiť. Ďalej analyzujeme stratégie detekcie a vyberáme vhodné metódy detekcie, ktoré možno aplpikovať na logy udalostí nátroja Sysmon. Zvolené metódy detekcie sú implementované v prototype nástroja. Navrhujeme tiež prístup k využívaniu metód detekcie na dátových tokoch. …moreless

Abstract:

This thesis aims to analyze methods of detecting malicious behavior in Sysmon event logs and implement a prototype tool that can apply the methods to historical data in an SQL database. We analyze the events produced by the Sysmon tool on Windows and Linux OS. Then we use the MITRE ATT&CK to find which commonly used tactics, techniques, and procedures can be detected using Sysmon event logs. We also find what detection strategies should be used. We further analyze the detection strategies and choose suitable detection methods that can be used on Sysmon event logs. The chosen detection methods are implemented in a prototype tool. We also propose an approach for using the detection methods on data streams. …moreless