Performance Monitor (perfmon)

Microsoft

Ferramenta nativa do Windows para coletar e plotar contadores de performance detalhados do SO e aplicações.

Análise de Endpoint Nativo do SO GUI Em Estudo Windows

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Preparação

9 Detecção e Análise

10 Contenção, Erradicação e Recuperação

11 Atividade Pós-Incidente

Descrição

O Performance Monitor (perfmon.exe) é a ferramenta legada mas ainda poderosa do Windows para coletar contadores de performance — milhares de métricas de SO e aplicação, de Processor\\% Processor Time a Network Interface\\Bytes Total/sec e Process\\Working Set. Suporta Data Collector Sets que amostram continuamente e gravam em ETL, CSV ou SQL.

Para o CySA+ representa a detecção baseada em baseline no Windows: comparar comportamento atual com baseline gravado é uma das técnicas originais de detecção de anomalia e ainda aparece em cenários de prova.

Casos de uso

Estabelecimento de baselines de performance para gold images
Data collector sets de longa duração alimentando SIEM
Investigação de lentidão intermitente que pode indicar comprometimento
Input de planejamento de capacidade para decisões de hardening

Exemplo

:: Launch Performance Monitor
perfmon

:: Start a built-in data collector set from the CLI
logman start "System Diagnostics"