# Sysmon

{% hint style="info" %}
Sysmon(System Monitor)은 Microsoft에서 제공하는 고급 시스템 모니터링 도구로, ETW(Event Tracing for Windows) 기반으로 프로세스 생성, 네트워크 연결, 이미지 로딩 등 핵심 보안 이벤트를 상세하게 기록합니다.
\
ETW와 연동된 Sysmon 로그는 파일리스 공격, 권한 상승 등 위협 행위의 정밀 분석에 매우 유용한 보안 데이터 소스로 활용됩니다.
{% endhint %}

{% hint style="info" %}
에이전트 설치 시 **Administrator** 권한으로 실행해야 합니다.

PLURA 지원 운영체제

* [https://docs.plura.io/ko/faq/comm/support\_os](https://docs.plura.io/ko/faq/common/support_os)

Sysmon 지원 운영체제

* 클라이언트: Windows 10 이상
* 서버: Windows Server 2016 이상
  {% endhint %}

## 설치 안내 <a href="#id-1" id="id-1"></a>

### 1. Sysmon 다운로드 <a href="#id-1-1" id="id-1-1"></a>

* 사전에 Windows 에이전트가 설치되어 있어야 합니다.
* 최신 버전의 [Sysmon 다운로드](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)

### 2. Sysmon 설정 <a href="#id-1-2" id="id-1-2"></a>

* 관리자 권한으로 cmd 명령창 실행
* 다음 명령어를 입력

```bash
cd "C:\Program Files\PLURA"
```

```bash
sysmon.exe -accepteula -i "C:\Program Files\PLURA\sysmon-plura.xml"
```

### 3. 에이전트 UI에서 설정 확인 <a href="#id-1-3" id="id-1-3"></a>

* 에이전트 UI에서 Sysmon 설정이 정상적으로 적용되었는지 확인합니다.

<figure><img src="https://3912928640-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FbL8mhGEJFL6ccTwojZ6f%2Fuploads%2FnmsJin1r7EQAdPRBpwPs%2Fwindows-sysmon.jpg?alt=media&#x26;token=500e1167-07e8-4b5c-8cd0-57d6c6190be2" alt=""><figcaption></figcaption></figure>

## 동영상 안내 <a href="#id-2" id="id-2"></a>

### 1. Sysmon 설치  <a href="#id-2-1" id="id-2-1"></a>

{% embed url="<https://www.youtube.com/embed/-imOmBTYJpw?si=48hu6FdN4vN_IWux>" %}