ក្រុមហ៊ុន Microsoft បានបញ្ចេញ Sysmon 14 ជាមួយនឹងមុខងារ FileBlockExecutable ដែលអាចឱ្យអ្នករារាំងការបង្កើតកម្មវិធីព្យាបាទបានដែលមានដូចជាហ្វាល EXE DLL និងហ្វាល SYS។
លក្ខណៈពិសេសនេះគឺជាឧបករណ៍ដ៏មានឥទ្ធិពលសម្រាប់អ្នកគ្រប់គ្រងប្រព័ន្ធព្រោះវាអនុញ្ញាតឱ្យពួកគេទប់ស្កាត់ការបង្កើតដែលអាចប្រតិបត្តិមេរោគបានដោយផ្អែកលើលក្ខណៈវិនិច្ឆ័យផ្សេងៗ ដែលមានដូចជា file path ដែលថាតើពួកវាត្រូវគ្នាជាមួយនឹងសញ្ញាសម្គាល់ជាក់លាក់ ឬត្រូវបានទម្លាក់ដោយកម្មវិធីប្រតិបត្តិមួយចំនួនឬយ៉ាងណា។
Microsoft Sysinternals គឺជាឧបករណ៍ដែលដាក់ឱ្យប្រើដោយឥតគិតថ្លៃ ដែលអាចត្រួតពិនិត្យប្រព័ន្ធសម្រាប់សកម្មភាពព្យាបាទ និងកត់ត្រាព្រឹត្តិការណ៍(event log) ចូលទៅក្នុង Windows Event Log។ Sysmon នឹងតាមដានព្រឹត្តិការណ៍(event log) ជាមូលដ្ឋានដូចជាការបង្កើតដំណើរការ និងការផ្លាស់ប្តូរពេលវេលាឯកសារតាមលំនាំដើមទៅកម្មវិធីមើលព្រឹត្តិការណ៍(event log)។ ទោះយ៉ាងណាក៏ដោយ វាអាចបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធផ្ទាល់ខ្លួនដែលមានជម្រើសកម្រិតខ្ពស់ដែលកំណត់នូវអ្វីដែល Sysmon ត្រួតពិនិត្យ ឬបិទ។ អ្នកប្រើប្រាស់អាចស្វែងរកបញ្ជីការណែនាំពេញលេញនៅក្នុងគម្រោង Sysmon ដែលអាចត្រូវបានមើលដោយដំណើរការពាក្យបញ្ជា sysmon -s នៅបន្ទាត់ពាក្យបញ្ជា (command line)។
ជាអកុសល Sysmon មិនមែនជាកម្មវិធីដែលមានឯកសារត្រឹមត្រូវទេ ដែលតម្រូវឱ្យអ្នកប្រើប្រាស់ធ្វើការជាមួយការណែនាំផ្សេងៗ ដើម្បីមើលពីរបៀបដែលពួកគេធ្វើការ និងព្រឹត្តិការណ៍(event log) អ្វីដែលត្រូវបានសរសេរទៅកាន់កំណត់ហេតុព្រឹត្តិការណ៍ (event log)។
អ្នកអាចចូលសិក្សាបន្ថែមនៅលើ Olaf Hartong’s blog posts អំពី Sysmon ដោយសារតែគាត់មានឯកសារបង្ហាញពីមុខងារថ្មីបន្ថែមទៀតនៅពេលដែល Sysmon ត្រូវបានចេញផ្សាយ។ ចុងបញ្ជប់ អេដមីន ក៏អាចប្រើប្រាស់ ឬអាន ឯកសារកំណត់រចនាសម្ព័ន្ធ Sysmon ដែលផលិតជាមុនពី Florian Roth និង SwiftOnSecurity ដើម្បីមើលពីរបៀបណែនាំដែលអាចត្រូវបានប្រើដើម្បីទប់ស្កាត់មេរោគ៕
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន bleepingcomputer ចុះផ្សាយថ្ងៃទី១៨ ខែសីហា ឆ្នាំ២០២២
