راهنمای نهایی Procmon: همه آنچه باید بدانید

دانش وقتی در حفظ امنیت سایبری فعال عمل می کند ، قدرت است. آگاهی از آنچه در سیستم های شما می گذرد و نظارت بر شبکه ها برای مشکلات احتمالی ، هک ها یا بدافزارها برای اطمینان از حداکثر زمان کار بسیار مهم است. و یکی از بهترین ابزارها برای انجام این کار ، برنامه Microsoft Process Monitor است – که با نام Procmon نیز شناخته می شود.

Procmon یک برنامه کاربردی نسبتاً ساده برای نصب و استفاده است که بینش و اطلاعات مربوط به فعالیت سیستم را ارائه می دهد. در این مقاله ، ما اصول اولیه Procmon ، آنچه انجام می دهد و نحوه نصب موفقیت آمیز آن را پوشش خواهیم داد. همچنین نحوه اجرای Procmon را به صورت ایمن به شما نشان می دهیم و به برخی از سوالات متداول درباره Procmon برای شروع کمک می کنیم.

Procmon چیست؟

Procmon یک برنامه قابل بارگیری برای سیستم عامل Microsoft Windows است که فعالیت سیستم و شبکه را ضبط و نمایش می دهد. این شامل فعالیت سیستم فایل ، فعالیت کلید ثبت ، شبکه و فعالیتهای تهدید می شود. Procmon همچنین پروفایل ها و رویدادها را نمایان می کند تا کاربران بتوانند دقیقاً ببینند در سیستم خود چه می گذرد و سابقه فعالیت های قبلی را مشاهده کنند.

یکی از بزرگترین مزایای Procmon این است که در واقع نیازی به بارگیری و نصب بومی ندارد دستگاه ها ، ماشین ها یا شبکه های شما ، قابلیت حمل آن را افزایش می دهد. Procmon به عنوان یک برنامه اجرایی واحد عمل می کند ، به این معنی که شما به سادگی فایل .cip Procmon را از مایکروسافت باز کرده و بلافاصله آن را اجرا کنید.

رابط Procmon به شما امکان می دهد داده ها و فعالیت های سیستم را با فیلترهای مختلف مانند تاریخ ، زمان و ماهیت فرآیند.

برای چه مواردی استفاده می شود؟

در سطح امنیت سایبری استراتژیک تر ، Procmon به دلیل توانایی خود در مشخص کردن مواردی مانند نصب کننده های نرم افزاری سرکش که تغییرات ناشناخته ای در کلیدهای رجیستری ایجاد می کند ، یا ردیابی منشاء بدافزارها شناخته شده است. یا ویروسی که سیستم را آلوده کرده است. عملکرد اصلی Procmon به عنوان ضبط رویداد شناخته می شود ، جایی که سرپرستان سیستم می توانند همه اتفاقات را مشاهده و نظارت کنند ، علاوه بر گزارشات رویداد گذشته ، بدافزارها ، ویروس ها و سایر اشکال فعالیت های مخرب را تشخیص دهند.

Procmon همزمان با هشدار داده عمل می کند ابزارهایی برای کمک به شروع فرایندها و پاسخهای مناسب باید بدافزار وارد سیستم شما شوند. همچنین شبیه ابزارهای منبع باز مانند Process Hacker است که برای شناسایی و خروج بدافزار طراحی شده اند.

برای استفاده از Procmon چه چیزی مورد نیاز است؟ باید ویندوز را به عنوان سیستم عامل اصلی خود اجرا کنید. تنها چیزی که واقعاً به آن احتیاج دارید یک دستگاه ویندوز ویستا یا ویندوز سرور 2008 یا بالاتر است که اکثر مشاغل و سازمان ها باید در این مرحله از آن استفاده کنند. تا زمانی که سیستم عامل ویندوز شما در عصر حجر نیست ، حداقل الزامات استفاده از Procmon را برآورده کرده اید. لازم نیست آن را بطور مستقیم بر روی دستگاه های خود نصب کنید. بدست آوردن Procmon و اجرای آن یک فرآیند نسبتاً ساده است که می توان آن را در چند مرحله آسان انجام داد.

مرحله 1: بارگیری فایل ZIP Procmon

اولین مرحله این است که به صفحه اسناد Procmon مایکروسافت بروید و روی "بارگیری" کلیک کنید. پیوند فرآیند ”برای به دست آوردن فایل ZIP. همچنین می توانید قابلیت های Procmon را با جزئیات بیشتر مرور کرده و برخی از اسکرین شات های برنامه ها را مشاهده کنید.

مرحله 2: بسته اسکریپت را از فایل ZIP باز کنید

سپس ، می خواهید فایل ZIP را با هر ابزار استخراج ای که معمولاً انجام می دهید ، استخراج کنید. استفاده کنید. در داخل پوشه ، یک قطعه کد پیدا خواهید کرد که از آن برای ایجاد یک پوشه Procmon در پوشه اصلی خود استفاده خواهید کرد.

به عنوان پوشه ~/ProcessMonitor با موارد زیر در داخل نشان داده می شود:

• Eula .txt – توافقنامه مجوزی که باید قبل از اجرای Procmon بپذیرید.
• procmon.chm – فایل راهنما که شامل تمام اسناد ارائه شده است.
• Procmon.exe – EXE اصلی که دستور درست را راه اندازی می کند برای مثال (x86 یا x64).

  مرحله 3: دسترسی به پوشه زنده Systernals (اختیاری)

  در صورتی که ترجیح می دهید فایل .exe را بارگیری نکنید ، گزینه دیگر شما دسترسی به Procmon از طریق پوشه Systernals Live است. تنها کاری که باید انجام دهید این است که File Explorer را باز کرده و \ live.sysinternals.com tool را جایگذاری کنید. این شما را مستقیماً به پوشه ای شامل همه فایل های Systernals ، از جمله Procmon می برد. به سادگی به پایین بروید ، روی Procmon دوبار کلیک کنید ، و برنامه شروع به کار می کند.

  مرحله 4: سفارشی سازی Procmon Start Behavior

  بعد از اینکه Procmon را از طریق اسکریپت اصلی .exe یا Systernals راه اندازی و اجرا کردید ، می خواهید برای سفارشی کردن ظاهر و احساس Procmon هنگام راه اندازی. می توانید این کار را فقط با استفاده از خط فرمان انجام دهید. به عنوان مثال ، اگر می خواهید Procomon با فرمت حداقل شده راه اندازی شود ، به سادگی از دستور /Minimized استفاده کنید:

  پس از اتمام این چهار مرحله ، تبریک می گوییم ، آماده استفاده از Procmon هستید!

  چگونه می توان امنیت را تضمین کرد استفاده از Procmon

  

  پس از اینکه Procmon را در شبکه خود راه اندازی کردید ، می خواهید چند مرحله اساسی را برای اطمینان از استفاده ایمن از برنامه انجام دهید. از آنجایی که Procmon با دسترسی و امتیازات سرپرست عمل می کند ، باید اقدامات امنیتی اولیه را در زمینه حفاظت از گذرواژه های سرپرست و کنترل های امنیتی انجام دهید.

  Physical Access Controls

  اولین قدم برای اطمینان از عدم دسترسی کاربران غیر مجاز به شما به عنوان مثال ، اجرای کنترل های امنیتی فیزیکی قوی است. دستگاههای سرپرست و پایانه ها باید در مناطقی باشند که فقط پرسنل مجاز می توانند به صورت فیزیکی وارد شوند. این که آیا از کارت های کلید ، رمزهای عبور یا بیومتریک استفاده می کنید ، قرار دادن کنترل های فیزیکی باعث می شود که فقط مدیران به Procmon در شبکه های شما دسترسی داشته باشند و از آن استفاده کنند. Microsoft AppLocker به عنوان یک اقدام حفاظتی اضافی. قبل از اجرای برنامه ، PowerShell از AppLocker استفاده می کند تا اسکریپت را تأیید کند تا مطمئن شود که کاربر مجاز به تغییر ویژگی های فایل است. هنگامی که AppLocker اسکریپت را در برابر مجوزهای کاربر ارزیابی می کند ، برنامه مجاز به اجرا می شود.

  Strong Admin Password Protection

  در نهایت ، شما می خواهید اطمینان حاصل کنید که همه کاربران سرپرست و حساب هایی که از Procmon استفاده می کنند دارای رمزهای عبور قوی هستند. به عنوان مثال ، ابزاری مانند Microsoft LAPS می تواند به طور خودکار گذرواژه ها را به صورت دوره ای درهم بکشد و اطمینان حاصل کند که هرگز از تکراری استفاده نمی شود. این که آیا از ابزاری مانند LAPS استفاده می کنید یا نه ، داشتن حداقل یک رمز عبور قوی برای مدیران می تواند استفاده ایمن و مداوم از Procmon را تضمین کند.

  س FAالات متداول Microsoft Procmon

  چگونه می توانم به Procmon دسترسی پیدا کنم؟

  با بارگیری اسکریپت و اجرای آن از طریق Windows Powershell می توانید به Microsoft Procmon دسترسی پیدا کنید. روش دیگر ، می توانید پس از بارگیری و نصب اسکریپت ، از طریق پوشه Systernals Live به Procmon دسترسی پیدا کنید.

  چگونه Procmon را نصب کنم؟

  می توانید به صفحه وب Microsoft Procmon بروید و یک پوشه .ZIP حاوی Procmon را بارگیری کنید. اسکریپت پس از باز کردن پوشه ، اسکریپت procmon.exe را در Powershell اجرا کنید. برای استفاده از Procmon نیازی به نصب نرم افزاری بومی نیست. به همه فرآیندهای سیستم – فعلی و گذشته – را می توان در Procmon مشاهده کرد.

  هزینه Procmon چقدر است؟

  هیچ. مایکروسافت Procmon را به عنوان یک ابزار رایگان از طریق وب سایت خود به مدیران بیوه ها ارائه می دهد. از آنجا که هیچ نرم افزار بومی برای نصب وجود ندارد ، اسکریپت Procmon یک برنامه ساده برای بارگیری ، فشرده سازی و نصب رایگان برای کاربران است. شناسایی مشکلات یا به صورت پیشگیرانه یا در زمان واقعی. استفاده از Procmon باید بخشی از هر پلتفرم و رویکرد امنیت اطلاعات جامع باشد. با ترکیب Procmon با سایر ابزارهای فن آوری تجزیه و تحلیل بدافزار ، می توانید در اسرع وقت بازیگران مخرب را شناسایی کرده و آسیب آنها را کاهش دهید.