Содержание
«ПН СтройИнновация» | Инжиниринговая компания Пермь
строительных объектов на всех этапах —
от подготовки до ввода в эксплуатацию
выполненные проекты
Компания ООО «ПН СтройИнновация» оказывает
полный спектр инжиниринговых услуг в строительстве.
Главная задача нашей компании — облегчить процесс реализации ваших инвестиционных строительных объектов.
Обратившись к нам, вы получите полный комплекс услуг по управлению и сопровождению строительства, оказываемых на современном уровне профессионалами своего дела.
Работаем на всех этапах строительства
Работаем на всех этапах строительства
Виды работ
Комплексные инжиниринговые услуги
Компания ООО «ПН СтройИнновация» предлагает полный спектр услуг по подготовке и подписанию строительной документации на всех этапах, а также услуги по техническому надзору и геодезическому сопровождению строительства.
Исполнительная и разрешительная документация
Строительный контроль
Геодезическое сопровождение
Организационно-технологическая документация
Проектно-сметная документация и инженерные изыскания
Финансово-технический аудит
Building Information Model (BIM)
Информационно-аналитические исследования
Оказываем услуги по строительному контролю согласно Федеральной программе улучшения качества жизни населения на территории Пермского края.
Узнать больше
Наши преимущества
Работаем с 2019 года и уже успели зарекомендовать себя на крупных проектах.
В работу внедрена интегрированная система менеджмента качества, соответствующая требованиям ГОСТ Р ИСО 9001-2015 (ISO 9001:2015)
О компании
В штате более 150 профессионалов различных специальностей
Специалисты с высшим и средне-техническим образованием.
С опытом работы на объектах повышенной опасности.
С опытом работы на международных проектах.
Включены в НРС, аттестованы НАКС, ВИК.
Действующая комиссия по аттестации (охрана труда, электробезопасность).
Пожарно-технический минимум, оказание медицинской помощи
Работа на высоте
Материальные ресурсы
Геодезическое оборудование.
Средства контроля качества СМР.
Более 100 комплектов оргтехники.
Собственный легковой автотранспорт.
Офис с возможностью удаленной работы.
Гарантия на качество и сроки исполнения работ
Обеспечиваем соответствие строительно-монтажных работ требованиям проекта нормативно-технической документации в области промышленной безопасности
Работаем с особо опасными и технически сложными объектами капитального строительства.
Участие в строительстве значимых объектов нефтегазовой и газохимической отрасли.
Гибкий подход к сотрудничеству
Заказчик сам выбирает схему взаимодействия.
Индивидуально подходим к каждому строительному объекту.
Предоставляем информационно-аналитические отчёты в течение всего строительства.
Три схемы взаимодействия
Схема взаимодействия №1
Работа с постоянным нахождением наших сотрудников на объекте
Вы определяете необходимое количество наших сотрудников, исходя из Ваших потребностей, с учётом утверждённых норм выработки одного сотрудника. Направляете в наш адрес заявку, обеспечиваете соответствующее количество рабочих мест, по возможности обеспечиваете размещение и питание.
Оставить заявку
Схема взаимодействия №2
Комбинирование удалённой работы с частичным нахождением на объекте
Вы экономите благодаря сокращению расходов по доставке, размещению и организации рабочих мест наших сотрудников по сравнению с первым способом и минимизируете Ваше участие по сравнению с удалённой работой.
Оставить заявку
Схема взаимодействия №3
Работа на удаленной основе
Вы экономите на доставке, размещении и организации рабочих мест наших сотрудников, но от Вас требуется организация работы со Строительным контролем, Техническим надзором, Заказчиком и обеспечение обратной связи с нашим головным офисом.
Оставить заявку
Работаем на объектах по всей России
Свяжитесь с нами через форму
Контактная информация:
ООО «ПН СТРОЙИННОВАЦИЯ»
Фактический адрес:
614990, Россия, Пермский край, г. Пермь, ул. Окулова д.75 корпус 2 БЦ «Спектр», офис 214
Почтовый адрес (для писем):
614067, Россия, Пермский край, г. Пермь, А/я 4
E-mail:
Телефон:
+7 (342) 291-93-70
ООО «ПН СТРОЙ», г. Москва, ИНН 7751188849, контакты, реквизиты, финансовая отчётность и выписка из ЕГРЮЛ
Контактная информация еще не добавлена?
Добавить телефоны и email
Юридический адрес
108820, г.
Москва, пос. Мосрентген, Киевское Ш 21-й километр, домовое владение 3, стр. 1, этаж 2 офис LXIX
Показать на карте
| ОГРН | 1207700448647 |
| ИНН | 7751188849 |
| КПП | 775101001 |
| ОКПО | 46479781 |
| Код ОКОГУ | 4210014 Организации, учрежденные юридическими лицами или гражданами, или юридическими лицами и гражданами совместно |
| Код ОКОПФ | 12300 Общества с ограниченной ответственностью |
| Код ОКФС | 16 Частная собственность |
| Код ОКАТО | 45297568102 д Дудкино |
| Код ОКТМО | 45953000000 поселение «Мосрентген» |
Регистрация в ФНС
Регистрационный номер 1207700448647 от 24 ноября 2020 года
Межрайонная инспекция Федеральной налоговой службы №46 по г.
Москве
Регистрация в ПФР
Регистрационный номер 087713052559 от 25 ноября 2020 года
Государственное учреждение — Главное Управление Пенсионного фонда РФ №4 Управление персонифицированного учета и взаимодействия со страхователями (административный округ Новомосковский г. Москвы)
Регистрация в ФСС
Регистрационный номер 773409436577341 от 25 ноября 2020 года
Филиал №34 Государственного учреждения — Московского регионального отделения Фонда социального страхования Российской Федерации
| Дакше Алексей Викторович ИНН 323402697243 с 11.04.2022 | 100% |
| 41.20 | Строительство жилых и нежилых зданийОСНОВНОЙ |
| 43.99 | Работы строительные специализированные прочие, не включенные в другие группировки |
| 77.32 | Аренда и лизинг строительных машин и оборудования |
43. 31 | Производство штукатурных работ |
| 43.21 | Производство электромонтажных работ |
| 71.12.1 | Деятельность, связанная с инженерно-техническим проектированием, управлением проектами строительства, выполнением строительного контроля и авторского надзора |
| 43.22 | Производство санитарно-технических работ, монтаж отопительных систем и систем кондиционирования воздуха |
| 71.12 | Деятельность в области инженерных изысканий, инженерно-технического проектирования, управления проектами строительства, выполнения строительного контроля и авторского надзора, предоставление технических консультаций в этих областях |
+ ещё 14
Финансовая отчётность ООО «ПНС» согласно данным ФНС и Росстата за 2019–2021 годы
Финансовые результаты за 2021 год
| Выручка | Чистая прибыль | Капитал |
|---|---|---|
9,2 млн ₽ | 4,8 млн ₽ | 4,8 млн ₽ |
Бухгалтерская отчётность за все доступные периоды
Показатели финансового состояния за 2021 год
- Коэффициент автономии (финансовой независимости)
0. 45 - Коэффициент обеспеченности собственными оборотными средствами
—
- Коэффициент покрытия инвестиций
0.45
45- Коэффициент текущей ликвидности
— - Коэффициент быстрой ликвидности
—
- Коэффициент абсолютной ликвидности
—
- Рентабельность продаж
52. 4% - Рентабельность активов
45.0%
- Рентабельность собственного капитала
99.8%
4%Сравнительный финансовый анализ за 2021 годНОВОЕ
Уплаченные ООО «ПНС» – ИНН 7751188849 – налоги и сборы за 2021 год
| Налог на добавленную стоимость | 291,9 тыс. ₽ |
| Налог на прибыль | 102,8 тыс. ₽ |
| Страховые взносы на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством | 9,9 тыс. ₽ |
| Страховые взносы на обязательное медицинское страхование работающего населения, зачисляемые в бюджет Федерального фонда обязательного медицинского страхования | 33,6 тыс. ₽ |
| Страховые и другие взносы на обязательное пенсионное страхование, зачисляемые в Пенсионный фонд Российской Федерации | 107,6 тыс. ₽ |
| Итого | 545,7 тыс. ₽ |
Согласно данным ФНС, среднесписочная численность работников за 2021 год составляет
3 человека
| 2021 г. | 3 человека | 18,3 тыс. ₽ |
Значения рассчитаны автоматически по сведениям о взносах в фонд обязательного медицинского страхования и среднесписочной численности ООО «ПНС», эта информация может быть неточной
Компания ООО «ПНС» не опубликовала ни одного сообщения, но является участником 2 сообщений на Федресурсе
| Заключение договора финансовой аренды (лизинга) | 2 |
24. Регистрация юридического лица | |
Присвоен ОГРН 1207700448647 | |
25.11.2020 Регистрация в ПФР, присвоен регистрационный номер 087713052559 | |
Регистрация в ФСС, присвоен регистрационный номер 773409436577341 | |
10.12.2020 Регистрация в Едином реестре субъектов малого и среднего предпринимательства | |
01.01.2022 Юридический адрес изменен с 108820, г. Москва, поселение Мосрентген, Киевское Ш 21-й километр, домовое владение 3, стр. | |
31.01.2022 Сдана финансовая отчётность за 2021 год | |
11.04.2022 Удалена запись об учредителе Дмитриев Роман Вячеславович Дакше Алексей Викторович становится новым учредителем организации | |
22.04.2022 Дмитриев Роман Вячеславович больше не является генеральным директором организации Дакше Алексей Викторович становится новым генеральным директором организации |
11.2020
1, этаж 2 офис LXIX на 108820, г. Москва, пос. Мосрентген, Киевское Ш 21-й километр, домовое владение 3, стр. 1, этаж 2 офис LXIXПохожие компании
| ООО «АЛЬФА-СТРОЙ» г. Сочи, Краснодарский край | 2366031131 |
| ООО «СТРОЙДОМ» г. Владимир, Владимирская область | 3328008800 |
| ООО «РАВЕКО» г. Рязань, Рязанская область | 6230034566 |
| ООО «ДЕЛЬМАКС» г.  Москва | 7714984987 |
| ООО «АНЬЕ» г. Москва | 9703007704 |
| ООО «ТИМС» г. Пермь, Пермский край | 5902035233 |
| ООО СК «ТЕРМИТ» г. Севастополь | 9201510671 |
Пн — система мониторинга ресурсов общего назначения
Mon — инструмент для мониторинга доступности сервисов. Услуги могут быть связаны с сетью, условиями окружающей среды или чем-то еще, что можно протестировать с помощью программного обеспечения. Если услуга недоступна, Mon может сообщить вам об этом с помощью системного журнала, электронной почты, пейджера или скрипта по вашему выбору. Вы можете контролировать, кто получает каждое оповещение в зависимости от времени суток или дня недели, и вы можете контролировать частоту повторного оповещения о существующей проблеме.
Mon был разработан открытым в том смысле, что он поддерживает произвольные средства мониторинга и методы оповещения через общий интерфейс, которые легко реализуются с помощью программ (на C, Perl, shell и т.
д.), ловушек SNMP и специальных Mon ( UDP-пакеты).
Этот инструмент чрезвычайно полезен для системных администраторов, но он также имеет более широкое применение. Он был разработан как универсальная система оповещения о проблемах, разделяющая задачи тестирования сервисов на доступность и отправку оповещений в случае сбоя. Для этого «mon» реализован в виде планировщика, который запускает программы, выполняющие тестирование, и запускает программы оповещения, когда эти сценарии обнаруживают сбой. Предупреждениями можно управлять с помощью различных ручек «шумоподавления», а сложные зависимости можно настроить для подавления чрезмерных предупреждений.
Особенности включают:
- moncmd, который является клиентом командной строки. moncmd поддерживает полную функциональность клиент-серверного интерфейса.
- monshow, генератор отчетов с двойной командной строкой и интерфейсом CGI для отображения рабочего состояния служб, отслеживаемых сервером. Он отображает в удобном формате столбцы текущего рабочего состояния, групп и журнала сбоев.
- skymon, который представляет собой двусторонний пейджинговый интерфейс SkyTel, позволяет вам запрашивать состояние сервера и управлять им так же, как moncmd, прямо с вашего пейджера. Доступ контролируется с помощью простого пароля и файла контроля доступа.
- mon.cgi, представляющий собой интерактивный веб-интерфейс, позволяет не только просматривать информацию о состоянии, но и изменять параметры сервера во время его работы.
Веб -сайт: Sourceforge.net/projects/mon
Поддержка:
Разработчик: Jim Trocki, David Nolan, Ed Ravin, Jon Meek, Augie Schwer
Лицензии: 1 GNU GPL2. написан на Перле. Изучайте Perl с помощью рекомендованной нами бесплатной книги и бесплатные учебники .
Вернуться на главную страницу системного мониторинга
| Популярная серия | |
|---|---|
Впервые в Linux? Прочтите нашу серию Linux для начинающих . Мы начнем прямо с основ и научим вас всему, что вам нужно знать, чтобы начать работу с Linux. | |
| Самый большой сборник лучшего бесплатного программного обеспечения с открытым исходным кодом во Вселенной. Каждая статья снабжена легендарной таблицей рейтингов, помогающей вам принимать взвешенные решения. | |
| Сотни подробных обзоров , в которых представлено наше беспристрастное и экспертное мнение о программном обеспечении. Мы предлагаем полезную и беспристрастную информацию. | |
Замена проприетарного программного обеспечения альтернативами с открытым исходным кодом: Google , Microsoft , Apple , Adobe , IBM , Autodesk , Oracle , Atlassian , Corel , Cisco , Intuit и SAS . | |
| Linux Around The World демонстрирует события и группы пользователей, имеющие отношение к энтузиастам Linux. | |
| Обзор популярных потоковых сервисов с точки зрения Linux: Amazon Music Unlimited , Myuzi , Spotify , Deezer , Tidal . | |
| Экономия денег с помощью Linux рассказывает о том, как можно сократить расходы на электроэнергию при использовании Linux. | |
| Essential Linux system tools содержит небольшие незаменимые утилиты, полезные как системным администраторам, так и обычным пользователям. | |
| Утилиты Linux для повышения производительности . Небольшие, незаменимые инструменты, полезные для всех, кто работает с Linux-машиной. | |
Домашние компьютеры стали обычным явлением в 1980-х годах. Эмуляция домашних компьютеров , включая Commodore 64, Amiga, Atari ST, ZX81, Amstrad CPC и ZX Spectrum. | |
| Сейчас и тогда исследует, как многообещающее программное обеспечение с открытым исходным кодом жило на протяжении многих лет. Это может быть ухабистая поездка. | |
| Linux дома рассматривает ряд домашних занятий, в которых Linux может сыграть свою роль, делая большую часть нашего времени дома, сохраняя активность и занятость. | |
| Linux Candy раскрывает более светлую сторону Linux. Повеселитесь и сбегите от ежедневной рутины. | |
| Начало работы с Docker поможет вам освоить Docker, набор продуктов платформы как услуги, который предоставляет программное обеспечение в пакетах, называемых контейнерами. | |
Лучшие бесплатные приложения для Android . Мы демонстрируем бесплатные приложения для Android, которые определенно стоит скачать. Есть строгие критерии приемлемости для включения в эту серию. | |
| Эти лучшие бесплатные книги ускорят изучение каждого языка программирования. Выучите новый язык сегодня! | |
| Эти бесплатных руководств дополняют нашу серию бесплатных книг по программированию. | |
| Stars and Stripes — это периодический сериал, посвященный влиянию Linux на США. | |
Пройдите наши бесплатные интерактивные курсы по науке о данных. Существуют курсы для Python с использованием pandas и plotnine и R с использованием ggplot2 .
Ускорьтесь за 20 минут. Никаких знаний в области программирования не требуется.
Прочтите наш список лучших бесплатных книг по программированию .
Изучайте Java , C , Python , C++ , C# , JavaScript , PHP и многие другие языки.
Кроме того, ознакомьтесь с нашей серией отличных бесплатных руководств по программированию .
Sysmon — Sysinternals | Microsoft Learn
- Статья
- 15 минут на чтение
Марк Руссинович и Томас Гарнье
Опубликовано: 10 ноября 2022 г.
Скачать Sysmon (4,6 МБ)
Скачать Sysmon для Linux (Github)
ВВЕДЕНИЕ
Системный монитор. устройство
драйвер, который после установки в системе остается резидентным в системе
перезагружается для мониторинга и регистрации активности системы в журнале событий Windows.
Это
предоставляет подробную информацию о создании процессов, сети
подключения и изменения времени создания файла. Собирая события
он генерирует с помощью
Коллекция событий Windows
или же
SIEM
агентов и впоследствии анализируя их, можно выявить вредоносные или
аномальной активности и понять, как злоумышленники и вредоносное ПО действуют на
ваша сеть.
Обратите внимание, что Sysmon не обеспечивает анализ событий, которые он генерирует,
он также не пытается защитить или спрятаться от злоумышленников.
Обзор возможностей Sysmon
Sysmon включает следующие возможности:
- Создание процессов журналов с полной командной строкой для текущих и
родительские процессы. - Записывает хэш файлов образа процесса, используя SHA1 (по умолчанию),
MD5, SHA256 или IMPHASH. - Одновременно можно использовать несколько хэшей.
- Включает GUID процесса в события создания процесса, чтобы разрешить
корреляция событий, даже если Windows повторно использует идентификаторы процессов. - Включает GUID сеанса в каждое событие, чтобы разрешить корреляцию событий.
в том же сеансе входа в систему. - Регистрирует загрузку драйверов или библиотек DLL с их сигнатурами и хэшами.
- Журналы открываются для необработанного доступа для чтения дисков и томов.
- Опционально регистрирует сетевые подключения, включая
исходный процесс, IP-адреса, номера портов, имена хостов и порт
имена. - Обнаруживает изменения во времени создания файла, чтобы понять, когда файл был
действительно создан. Изменение временных меток создания файла
метод, обычно используемый вредоносными программами для заметания следов. - Автоматически перезагружать конфигурацию при изменении в реестре.
- Фильтрация правил для динамического включения или исключения определенных событий.
- Генерирует события в начале процесса загрузки для регистрации активности
созданные даже сложными вредоносными программами режима ядра.
Снимки экрана
Использование
Обычное использование с простыми параметрами командной строки для установки и удаления
Sysmon, а также для проверки и изменения его конфигурации:
Установить: sysmon64 -i [
Обновить конфигурацию: sysmon64 -c [
Установить манифест события: sysmon64 -m
Схема печати: sysmon64 -s
Удаление: sysmon64 -u [сила]
| Параметр | Описание |
|---|---|
| -i | Установить службу и драйвер. При желании возьмите файл конфигурации. |
| -с | Обновите конфигурацию установленного драйвера Sysmon или выгрузите текущую конфигурацию, если не указан другой аргумент. При желании принимает файл конфигурации. |
| -м | Установите манифест события (также неявно выполняется при установке службы). |
| -с | Определение схемы конфигурации печати. |
| -у | Удалить службу и драйвер. Использование -u force приводит к продолжению удаления, даже если некоторые компоненты не установлены. |
Служба немедленно регистрирует события, а драйвер устанавливается как
загрузочный драйвер для захвата активности на ранней стадии загрузки, которую
служба будет записывать в журнал событий при запуске.
В Vista и выше события сохраняются в
Журналы приложений и служб/Microsoft/Windows/Sysmon/Operational .
В старых системах события записываются в журнал событий System .
Если вам нужна дополнительная информация о файлах конфигурации, используйте -? конфигурация
команда.
Укажите -accepteula для автоматического принятия лицензионного соглашения при установке,
в противном случае вам будет предложено принять его в интерактивном режиме.
Ни установка, ни удаление не требуют перезагрузки.
Примеры
Установка с настройками по умолчанию (обработка образов, хешированных с помощью SHA1 и без
мониторинг сети)
sysmon -accepteula -i
Установите Sysmon с помощью файла конфигурации (как описано ниже)
sysmon -accepteula -i c:\windows\config.xml
Удалить
sysmon -u
Дамп текущей конфигурации
sysmon -c
Перенастроить активный Sysmon с помощью файла конфигурации (как описано ниже)
sysmon -c c:\windows\config.xml
Изменить конфигурацию на настройки по умолчанию
sysmon -c --
Показать схему конфигурации
sysmon -s
События
В Vista и выше события сохраняются в
Журналы приложений и служб/Microsoft/Windows/Sysmon/Operational и далее
более старые системные события записываются в журнал событий System .
Временные метки событий указаны в стандартном времени UTC.
Ниже приведены примеры каждого типа событий, генерируемых Sysmon.
Идентификатор события 1: Создание процесса
Событие создания процесса предоставляет расширенную информацию о новом
созданный процесс. Полная командная строка предоставляет контекст процесса
исполнение. Поле ProcessGUID является уникальным значением для этого процесса.
по всему домену, чтобы упростить корреляцию событий. Хэш полный
хэш файла с алгоритмами в поле HashType .
Идентификатор события 2: процесс изменил время создания файла
Событие изменения времени создания файла регистрируется при создании файла
время явно модифицируется процессом. Это событие помогает отслеживать
реальное время создания файла. Злоумышленники могут изменить способ создания файла
время бэкдора, чтобы он выглядел так, как будто он был установлен с
операционная система. Обратите внимание, что многие процессы законно изменяют
время создания файла; это не обязательно указывает на вредоносный
Мероприятия.
Идентификатор события 3: сетевое подключение
Событие сетевого подключения регистрирует подключения TCP/UDP на машине. Это
отключен по умолчанию. Каждое соединение связано с процессом через
поля ProcessId и ProcessGuid . Событие также содержит источник
и имена хостов назначения, IP-адреса, номера портов и статус IPv6.
Идентификатор события 4: состояние службы Sysmon изменилось
Событие изменения состояния службы сообщает о состоянии службы Sysmon
(запущено или остановлено).
Идентификатор события 5: Процесс завершен
Событие завершения процесса сообщает о завершении процесса. Это
предоставляет UtcTime , ProcessGuid и ProcessId процесса.
Идентификатор события 6: драйвер загружен
События загрузки драйвера предоставляют информацию о драйвере,
загружается в систему. Настроенные хэши предоставляются, а также
информация о подписи. Подпись создается асинхронно для
соображений производительности и указывает, был ли файл удален после загрузки.
Идентификатор события 7: изображение загружено
Изображение загружено в журнал событий, когда модуль загружается в определенном
процесс. Это событие отключено по умолчанию и должно быть настроено
с опцией « –l «. Указывает процесс, в котором находится модуль.
загружается, хэши и информация о подписи. Подпись создана
асинхронно по соображениям производительности и указывает, был ли файл
удаляется после загрузки. Это событие следует настроить тщательно, т.к.
отслеживание всех событий загрузки изображений приведет к созданию значительного объема журналов.
Идентификатор события 8: CreateRemoteThread
Событие CreateRemoteThread обнаруживает, когда процесс создает поток в
другой процесс. Этот метод используется вредоносными программами для внедрения кода и
скрыть в других процессах. Событие указывает источник и цель
процесс. Он дает информацию о коде, который будет выполняться в новом
поток: StartAddress , StartModule и StartFunction .
Обратите внимание, что
StartModule и StartFunction 9Поля 0348 выведены, они могут быть пустыми
если начальный адрес находится за пределами загруженных модулей или известных экспортируемых
функции.
Идентификатор события 9: RawAccessRead
Событие RawAccessRead обнаруживает, когда процесс выполняет чтение
операции с накопителя с использованием обозначения \.\. Эта техника
часто используется вредоносными программами для кражи данных из заблокированных файлов
для чтения, а также чтобы избежать инструментов аудита доступа к файлам. Событие
указывает исходный процесс и целевое устройство.
Идентификатор события 10: ProcessAccess
Процесс сообщает о событии, когда процесс открывает другой процесс,
операция, за которой часто следуют информационные запросы или чтение и
запись адресного пространства целевого процесса. Это позволяет обнаруживать
хакерских инструментов, которые считывают содержимое памяти таких процессов, как Local
Security Authority (Lsass.
exe) для кражи учетных данных для использования в
Атаки Pass-the-Hash. Его включение может генерировать значительное количество
ведение журнала, если есть активные диагностические утилиты, которые повторно открываются
процессы для запроса их состояния, поэтому обычно это следует делать только так
с фильтрами, удаляющими ожидаемый доступ.
Идентификатор события 11: FileCreate
Операции создания файла регистрируются при создании или перезаписи файла.
Это событие полезно для мониторинга местоположений автозапуска, таких как
Папка автозагрузки, а также временные и загрузочные каталоги, которые
общие места падения вредоносного ПО во время первоначального заражения.
Идентификатор события 12: RegistryEvent (создание и удаление объекта)
Операции создания и удаления раздела и значения реестра сопоставляются с этим событием
тип, который может быть полезен для отслеживания изменений в реестре.
места автозапуска или определенные модификации реестра вредоносных программ.
Sysmon использует сокращенные версии имен корневых разделов реестра с
следующие сопоставления:
| Имя ключа | Аббревиатура |
|---|---|
HKEY_LOCAL_MACHINE | Гонконг |
HKEY_USERS | Гонконг |
HKEY_LOCAL_MACHINE\System\ControlSet00x | HKLM\System\CurrentControlSet |
HKEY_LOCAL_MACHINE\классы | ГККР |
Идентификатор события 13: RegistryEvent (набор значений)
Этот тип события реестра идентифицирует изменения значения реестра.
событие записывает значение, записанное для значений реестра типа DWORD и
QWORD .
Идентификатор события 14: RegistryEvent (переименование ключа и значения)
Операции переименования ключа и значения реестра сопоставляются с этим типом события,
запись нового имени ключа или значения, которое было переименовано.
Идентификатор события 15: FileCreateStreamHash
Это событие регистрируется при создании именованного файлового потока и генерирует
события, которые регистрируют хэш содержимого файла, в который поток
назначается (безымянный поток), а также содержимое именованного
ручей. Существуют варианты вредоносных программ, которые сбрасывают свои исполняемые файлы или
настройки конфигурации через загрузку браузера, и это мероприятие направлено на
захватив это на основе браузера, прикрепившего Zone.Identifier "знак
Интернет».
Идентификатор события 16: ServiceConfigurationChange
Это событие регистрирует изменения в конфигурации Sysmon, например, когда
правила фильтрации обновлены.
Идентификатор события 17: PipeEvent (канал создан)
Это событие генерируется при создании именованного канала. Вредоносное ПО часто использует именованные
каналы для межпроцессного взаимодействия.
Идентификатор события 18: PipeEvent (канал подключен)
Это событие регистрируется, когда между клиентом и
сервер.
Идентификатор события 19: WmiEvent (обнаружена активность WmiEventFilter)
При регистрации фильтра событий WMI, который является методом, используемым вредоносным ПО для
execute это событие регистрирует пространство имен WMI, имя фильтра и выражение фильтра.
Идентификатор события 20: WmiEvent (обнаружена активность WmiEventConsumer)
Это событие регистрирует регистрацию потребителей WMI, записывая имя потребителя,
журнал и пункт назначения.
Идентификатор события 21: WmiEvent (обнаружена активность WmiEventConsumerToFilter)
Когда потребитель привязывается к фильтру, это событие регистрирует имя потребителя и фильтр.
дорожка.
Идентификатор события 22: DNSEvent (DNS-запрос)
Это событие генерируется, когда процесс выполняет DNS-запрос, независимо от того,
успешно или неудачно, кэшировано или нет. Добавлена телеметрия для этого события
для Windows 8.1, поэтому он недоступен в Windows 7 и более ранних версиях.
Идентификатор события 23: FileDelete (удаление файла заархивировано)
Файл был удален.
Помимо регистрации события, удаленный файл также
сохранено в ArchiveDirectory (по умолчанию C:\Sysmon ). В норме
условиях работы этот каталог может вырасти до неразумного размера - см.
идентификатор события 26: FileDeleteDetected для аналогичного поведения, но без сохранения
удаленные файлы.
Идентификатор события 24: ClipboardChange (Новое содержимое в буфере обмена)
Это событие генерируется при изменении содержимого системного буфера обмена.
Идентификатор события 25: ProcessTampering (изменение образа процесса)
Это событие генерируется при использовании таких методов сокрытия процесса, как "полый" или
"herpaderp" обнаруживаются.
Идентификатор события 26: FileDeleteDetected (зарегистрировано удаление файла)
Файл был удален.
Идентификатор события 27: FileBlockExecutable
Это событие генерируется, когда Sysmon обнаруживает и блокирует создание исполняемых файлов.
Идентификатор события 28: FileBlockShredding
Это событие генерируется, когда Sysmon обнаруживает и блокирует уничтожение файлов такими инструментами, как SDelete.
Код события 255: ошибка
Это событие генерируется при возникновении ошибки в Sysmon. Они могут
произойти, если система находится под большой нагрузкой, и некоторые задачи не могут быть
выполнено, или в службе Sysmon существует ошибка, или даже если определенная безопасность
и условия целостности не соблюдены. Вы можете сообщить о любых ошибках
на форуме Sysinternals или в Twitter
(@маркруссинович).
Файлы конфигурации
Файлы конфигурации можно указать после -i (установка) или
-c (установка) переключатели конфигурации. Они облегчают
развернуть предустановленную конфигурацию и фильтровать захваченные события.
Простой XML-файл конфигурации выглядит следующим образом:
<ХэшАлгоритмс>* <Фильтрация событий> Microsoft окна 443 80 iexplore.
exe Файл конфигурации содержит атрибут версии схемы в Sysmon
ярлык. Эта версия не зависит от бинарной версии Sysmon и
позволяет анализировать старые файлы конфигурации. Вы можете получить актуальную
версию схемы с помощью командной строки " -? config ". Конфигурация
записи находятся непосредственно под тегом Sysmon , а фильтры — под тегом
Тег EventFiltering .
Записи конфигурации
Записи конфигурации аналогичны переключателям командной строки и включают следующие
Записи конфигурации включают следующее:
| Запись | Значение | Описание |
|---|---|---|
| Архивный каталог | Строка | Имя каталогов в корне тома, в которые перемещаются файлы копирования при удалении. Каталог защищен системным ACL (вы можете использовать PsExec от Sysinternals для доступа к каталогу, используя psexec -sid cmd ). По умолчанию: Сисмон |
| Проверка отзыва | Булево значение | Управляет проверками отзыва подписи. По умолчанию: Правда |
| CopyOnDeletePE | Булево значение | Сохраняет удаленные исполняемые файлы образов. По умолчанию: Ложь |
| CopyOnDeleteSIDs | Струны | Разделенный запятыми список SID учетных записей, для которых будут сохранены удаления файлов. |
| CopyOnDeleteExtensions | Струны | Расширения для файлов, которые сохраняются при удалении. |
| Копионделетепроцессес | Струны | Имена процессов, для которых будут сохранены удаления файлов. |
| DNSLookup | Булево значение | Управляет обратным поиском DNS. По умолчанию: Правда |
| Имя Драйвера | Строка | Использует указанное имя для образов драйверов и служб. |
| Хэш-алгоритмы | Струны | Алгоритм(ы) хэширования для применения при хешировании. Поддерживаемые алгоритмы включают MD5, SHA1, SHA256, IMPHASH и * (все). По умолчанию: Нет |
Переключатели командной строки имеют свою запись конфигурации, описанную в использовании Sysmon
выход. Параметры являются необязательными в зависимости от тега. Если командная строка
коммутатор также включает событие, его необходимо настроить, хотя его
тег фильтра. Вы можете указать переключатель -s , чтобы Sysmon распечатывал полный текст.
схема конфигурации, включая теги событий, а также имена полей
и типы для каждого события. Например, вот схема для
RawAccessRead тип события:
Записи фильтрации событий
Фильтрация событий позволяет фильтровать сгенерированные события.
Во многих случаях
мероприятия могут быть шумными и собрать все не представляется возможным. За
например, вас могут интересовать сетевые подключения только для
определенный процесс, но не все из них. Вы можете отфильтровать вывод на
хост сокращает данные для сбора.
Каждое событие имеет собственный тег фильтра в узле EventFiltering в
файл конфигурации:
| ID | Тег | Событие |
|---|---|---|
| 1 | ПроцессСоздать | Процесс создания |
| 2 | FileCreateTime | Время создания файла |
| 3 | НетворкКоннект | Обнаружено сетевое подключение |
| 4 | н/д | Изменение состояния службы Sysmon (не может быть отфильтровано) |
| 5 | Процесстерминат | Процесс завершен |
| 6 | Загрузка драйвера | Драйвер загружен |
| 7 | Загрузка изображений | Изображение загружено |
| 8 | CreateRemoteThread | Обнаружен CreateRemoteThread |
| 9 | RawAccessRead | Обнаружен RawAccessRead |
| 10 | Доступ к процессу | Доступ к процессу |
| 11 | Создать файл | Файл создан |
| 12 | Событие Реестра | Объект реестра добавлен или удален |
| 13 | Событие Реестра | Значение реестра установлено |
| 14 | Событие Реестра | Объект реестра переименован |
| 15 | Филкреатестреамхэш | Файловый поток создан |
| 16 | н/д | Изменение конфигурации Sysmon (не может быть отфильтровано) |
| 17 | Трубное событие | Создан именованный канал |
| 18 | Трубное событие | Подключен именованный канал |
| 19 | WmiEvent | WMI-фильтр |
| 20 | WmiEvent | Потребитель WMI |
| 21 | WmiEvent | Потребительский фильтр WMI |
| 22 | DNS-запрос | DNS-запрос |
| 23 | FileDelete | Удаление файла из архива |
| 24 | Изменение буфера обмена | Новый контент в буфере обмена |
| 25 | Подделка процесса | Изменение образа процесса |
| 26 | ФайлДетедетектед | Зарегистрировано удаление файла |
| 27 | FileBlockExecutable | Исполняемый файл блока |
| 28 | FileBlockShredding | Уничтожение файловых блоков |
Эти теги также можно найти в средстве просмотра событий в названии задачи.
Фильтр onmatch применяется, если события совпадают. Это можно изменить
с атрибутом onmatch для тега фильтра. Если значение
"include" , это означает, что включены только совпавшие события. Если он установлен на
"исключить" , событие будет включено, за исключением случаев совпадения правила. Вы можете
указать как набор фильтров включения, так и набор фильтров исключения для каждого
идентификатор события, где исключенные совпадения имеют приоритет.
Каждый фильтр может включать ноль или более правил. Каждый тег под фильтром
тег — это имя поля из события. Правила, определяющие условие для
одно и то же имя поля ведет себя как условия ИЛИ, а те, которые указывают
другое имя поля ведет себя как условия И. Правила поля также могут использовать
условия для соответствия значению. Условия следующие (все случаи
нечувствительный):
| Состояние | Описание |
|---|---|
| это | По умолчанию, значения равны |
| любой | Поле является одним из ; значения с разделителями |
| не | Значения отличаются |
| содержит | Поле содержит это значение |
| содержит любые | Поле содержит любой из ; значений с разделителями |
| содержит все | Поле содержит все ; значения с разделителями |
| исключает | Поле не содержит этого значения |
| исключая любой | Поле не содержит одного или нескольких из ; значения с разделителями |
| исключает все | Поле не содержит ни одного из ; значений с разделителями |
| начинаются с | Поле начинается с этого значения |
| конец на | Поле заканчивается этим значением |
| не начинаться с | Поле не начинается с этого значения |
| не заканчиваться на | Поле не заканчивается этим значением |
| менее | Лексикографическое сравнение меньше нуля |
| более | Лексикографическое сравнение больше нуля |
| изображение | Совпадение с путем к изображению (полный путь или только имя изображения). Например: lsass.exe будет соответствовать c:\windows\system32\lsass.exe |
Вы можете использовать другое условие, указав его как атрибут. Этот
исключает сетевую активность процессов с iexplore.exe в их
путь:
iexplore.exe
Чтобы система Sysmon сообщала, какое совпадение с правилом привело к регистрации события, добавьте
имена к правилам:
iexplore.exe
Вы можете использовать как правила включения, так и правила исключения для одного и того же тега, где правила исключения
переопределить правила включения. В правиле условия фильтрации имеют поведение ИЛИ.
В примере конфигурации, показанном ранее, сетевой фильтр использует как
включить и исключить правило для захвата активности на портах 80 и 443 всеми процессами
кроме тех, в имени которых есть iexplore..
exe
Также можно переопределить способ объединения правил с помощью правила
группа, которая позволяет установить тип объединения правил для одного или нескольких событий
явно для AND или OR.
Следующий пример демонстрирует это использование. В первой группе правил
событие создания процесса будет сгенерировано, когда timeout.exe выполняется только с
аргумент командной строки 100 , но событие завершения процесса будет
генерируется для завершения ping.exe и timeout.exe .
<Фильтрация событий>
timeout.exe
100
timeout.exe
ping.
