Sysinternals Suite

Microsoft

Process Explorer, Autoruns, Procmon e companhia — kit essencial de internals do Windows.

Análise de Endpoint Nativo do SO GUI Em Estudo Windows

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O Sysinternals Suite (Mark Russinovich, Microsoft) é o kit indispensável para analistas Windows. O CySA+ exige conhecer o papel de cada ferramenta principal:

Process Explorer — Task Manager turbinado: binários assinados, DLLs carregadas, consulta a VirusTotal, árvore pai/filho.
Process Monitor (Procmon) — atividade de arquivo/registry/rede em tempo real com filtros; principal ferramenta de análise comportamental.
Autoruns — todos os pontos de autostart do Windows (Run keys, services, scheduled tasks, BHOs, AppInit DLLs, …).
Sysmon — driver + serviço que emite eventos ricos.
TCPView — visualizador ao vivo de sockets.
PsExec — execução remota (muito abusado por atacantes; o SOC precisa reconhecer instalações de serviço PsExec).

Casos de uso

Triagem ao vivo em host Windows suspeito
Detecções no SIEM baseadas em Sysmon
Reconhecimento de padrões de abuso (PsExec, Procdump em LSASS)

Exemplo

# Install Sysmon with a community config
Sysmon64.exe -accepteula -i sysmonconfig-export.xml