Sysmon explicado: Monitorización avanzada de procesos, red y archivos en Windows

Introducción

System Monitor (Sysmon) es un servicio y controlador para Windows desarrollado por Microsoft como parte de la Sysinternals Suite.

• https://learn.microsoft.com/es-es/sysinternals/downloads/sysmon
• https://learn.microsoft.com/es-es/sysinternals/downloads/sysinternals-suite

Su propósito es monitorizar y registrar en detalle la actividad del sistema, proporcionando una telemetría avanzada que no está disponible en los registros nativos de Windows.

Gracias al nivel de detalle que aporta, Sysmon se ha convertido en una herramienta fundamental.

¿Qué problema intenta resolver Sysmon?

Aunque Windows registra información básica en el Registro de Eventos, estos datos suelen ser insuficientes para identificar comportamientos avanzados o detectar actividad maliciosa. Sysmon surge para cubrir esa brecha aportando:

• Mayor profundidad en los eventos.
• Contexto adicional.
• Información detallada sobre procesos, archivos, conexiones de red y más.

Entre los eventos más relevantes que registra se incluyen:

• Creación y finalización de procesos.
• Línea de comandos y relación padre-hijo.
• Conexiones de red salientes.
• Creación y modificación de archivos.
• Hashes de imágenes cargadas y binarios.

Diferencias entre el Registro de Eventos de Windows y Sysmon

El Registro de Eventos de Windows ofrece una visión general del sistema y es útil para tareas administrativas y de auditoría básica. Sin embargo, carece del nivel de detalle que los analistas de seguridad necesitan.

Por su parte, Sysmon aporta:

1. Identificadores de procesos (PID) con contexto completo.
2. Líneas de comando completas asociadas a cada proceso.
3. Hashes de archivos procesados.
4. Detalle completo de conexiones de red.
5. Información granular sobre la creación de procesos, incluyendo parent-child mapping.

Es importante destacar que los Event IDs de Sysmon no coinciden con los del registro estándar de Windows, lo que permite diferenciarlos y filtrarlos fácilmente.

Conclusión: Usados conjuntamente, ambos sistemas ofrecen una vista completa, profunda y contextualizada del comportamiento del sistema.

Configuración de Sysmon

Sysmon requiere un archivo de configuración en formato XML, donde se define qué eventos deben registrarse y bajo qué condiciones. Una de las configuraciones más populares y equilibradas es la creada por SwiftOnSecurity

• https://github.com/SwiftOnSecurity/sysmon-config

Por su capacidad de:

• Reducir ruido innecesario.
• Mantener un impacto mínimo en el rendimiento.
• Proveer telemetría de alta calidad lista para análisis.

La configuración soporta 29 tipos de Event IDs, cada uno enfocado en actividades específicas como procesos, red, archivos, drivers o cambios en el registro.

Event IDs más importantes de Sysmon

A continuación, un resumen de los eventos más relevantes que permiten detectar amenazas y realizar análisis forense de forma eficaz:

🟦 Event ID 1 – Process Create (Creación de procesos)

Registra cada vez que se crea un proceso.

Permite detectar:

• Procesos sospechosos o conocidos por ser maliciosos.
• Ejecutables con errores tipográficos que podrían indicar.

🟦 Event ID 3 – Network Connection (Conexiones de red)

Monitoriza las conexiones TCP y UDP salientes.

Útil para identificar:

• Comunicaciones remotas inesperadas.
• Descarga o transferencia de binarios sospechosos.
• Uso extraño de puertos o conexiones persistentes.

🟦 Event ID 7 – Image Loaded (Carga de imágenes / DLLs)

Registra todas las DLL que un proceso carga.

Clave para detectar:

• Bibliotecas inusuales o maliciosas.

🟦 Event ID 8 – CreateRemoteThread

Supervisa el uso de la función CreateRemoteThread, común en técnicas de inyección de código.

Posibles indicadores de:

• Inyección maliciosa de procesos.

🟦 Event ID 11 – FileCreate (Creación de archivos)

Registra la creación y sobrescritura de archivos.

Permite detectar:

• Nombres de archivos sospechosos.
• Escritura de payloads maliciosos.

🟦 Event IDs 12 y 13 – RegistryEvent (Creación y modificación de claves)

Detectan operaciones de creación, eliminación o modificación en el Registro.

Especialmente útil para:

• Monitorizar ubicaciones de persistencia.
• Identificar cambios en claves sensibles del sistema.

🟦 Event ID 15 – FileCreateStreamHash

Detecta archivos almacenados en flujos de datos alternativos (ADS).

Importante para detectar:

• Ocultación de malware.

🟦 Event ID 22 – DNS Query

Registra todas las consultas DNS hechas por el sistema.

Ayuda a detectar:

• Dominios maliciosos o generados algorítmicamente (DGA).
• Anomalías en el comportamiento DNS habitual.

Conclusión

Sysmon es una de las herramientas más potentes para ampliar la visibilidad en entornos Windows. Su capacidad de registrar eventos detallados y contextualizados lo convierte en un aliado fundamental.

Con una buena configuración —como la de SwiftOnSecurity— es posible reducir ruido y obtener exactamente la telemetría necesaria para identificar actividad anómala, investigar incidentes y reforzar las defensas del entorno.