Sysmon เวอร์ชันใหม่จะแสดงชื่อโปรเซสของ DNS Query แล้ว

Microsoft เผยกำลังออก Sysmon เวอร์ชันใหม่ภายในไม่กี่วันนี้ซึ่งสามารถแสดงชื่อโปรเซสที่ทำการ Query DNS ได้

Sysmon หรือ System Monitoring เป็นเครื่องที่เอาไว้ใช้เก็บ Log ของ Event หรือ Information ใน Windows Event Logs อย่างไรก็ตามเวอร์ชันปัจจุบันมีการเก็บ Log ของ DNS อยู่แล้วเพียงแต่ยังขาดส่วนประกอบสำคัญที่จะถูกเติมเต็มในเวอร์ชันใหม่ที่จะออกในไม่กี่วันข้างหน้าได้ นั่นก็คือการแสดงชื่อโปรเซสที่ทำการ Query DNS ถึงแม้ว่านี่จะเป็นเพียงฟีเจอร์เล็กๆ แต่เป็นเรื่องสำคัญเพราะจะทำให้ต่อไป Admin จะมีข้อมูลเพื่อวิเคราะห์ถึงทราฟฟิคที่น่าสงสัยได้ ผู้สนใจสามารถติดตาม Sysmon Config File ได้บน GitHub

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/sysmon-getting-dns-query-logging-with-querying-process-name/