TY  - RPRT
A1  - Schmitz, Alexander
T1  - Ereignisbasierte Systemüberwachung von Windows-PCs
T1  - Event-based system monitoring for Windows systems
N2  - Diese Arbeit bietet einen Überblick über das Thema der ereignisbasierten Systemüberwachung von Windows-PCs. Die frühe Erkennung von Angriffen und der Ausführung von Schadsoftware auf Windows-Clients bedingt Sensor-Technologien, die Systemereignisse erkennen und protokollieren. Anhand bestimmter Ereignisse oder komplexerer Ereignismuster können illegitime Vorgänge auf Computersystemen erkannt werden. Der Fokus dieser Arbeit liegt darauf einen detaillierten Überblick über diese ereignisbasierte Sensorik für Windows-Endpunkte zu geben, die Systemereignisse erkennt und Ereignis-Objekte mit beschreibenden Attributen liefert. Im Gegensatz dazu wird die Interpretation der bereitgestellten Ereignisdaten und der Musterabgleich in dieser Arbeit nicht behandelt. Zu Beginn werden dafür die elementaren Aspekte und Begriffe einer solchen Sensor-Technologie allgemein erklärt. Dabei werden einige charakterisierende Grundeigenschaften erläutert, anhand derer solche Senor-Verfahren eingeordnet werden können. Zudem wird auf Basis durchgeführter Messungen eine Abschätzung bezüglich der Auftrittsfrequenzen verschiedener Systemereignisse geliefert. Im Hauptteil werden die zwei ereignisbasierten Monitoring-Systeme Event-Tracing-for-Windows (ETW) und Sysmon vorgestellt. Die Funktionalität, Architektur und interne Funktionsweise der beiden Systeme wird detailliert erläutert. Zudem werden ihre charakterisierenden Basiseigenschaften herausgearbeitet, um Stärken und Schwächen zu erkennen. Der ETW-basierte Sensor und SIGMA-Regelscanner Nextron Aurora, der Sysmon-ähnliche Ereignisdaten bereitstellt, wird ebenfalls behandelt.
N2  - This thesis is an overview of the topic of event based monitoring of Windows PCs. The early detection of cyberthreat attacks and malware execution on Windows clients requires sensor technologies that detect and log system events. Certain events or more complex event patterns can be used to detect illegitimate behavior on computer systems. The focus of this thesis are these event-based sensors for Windows endpoints, which detect system events and provide event objects with descriptive attributes. The interpretation of the provided event data and pattern matching are not covered in this work. At the beginning, the elementary aspects and terms of such a sensor technology are explained in general. This includes some characterizing basic properties, which can used to classify such sensor technologies. In addition, some estimates of the trigger frequencies of various system events based on own measurements are reported. The two event based monitoring systems Event Tracing for Windows (ETW) and Sysmon are presented in the main part. The usage, functionality, architecture and internals of the two systems are explained in detail. Moreover, their most significant characterizing properties are expounded in order to identify advantages and disadvantages. The ETW based sensor and SIGMA rule scanner Nextron Aurora that provides Sysmon like event data is also covered.
KW  - Event Tracing for Windows ETW
KW  - Windows Performance Counter PCW
KW  - Sysmon
KW  - Ereignisprotokollierung
KW  - Systemüberwachung
Y1  - 2022
UR  - https://whge.opus.hbz-nrw.de/frontdoor/index/index/docId/4198
ER  -