Dựa trên logs thu được trên SIEM, ta có thể thấy rằng logs của dịch vụ Sysmon ghi lại được nhiều thông tin hơn so với logs khi kích hoạt Windows GPO. Cụ thể, nó cho phép ghi bổ sung thêm mã băm của tiến trình được thực thi, các tham số được sử dụng và thông tin về tiến trình cha đã khởi chạy nó. Ngay cả khi kích hoạt Windows GPO thì thông tin về tiến trình cha, tham số của nó chỉ được hỗ trợ ghi lại trên một số phiên bản hệ điều hành Windows mới gần đây. Ngoài ra, nó còn cho phép ghi lại nhiều sự kiện khác mà Windows GPO không có, ví dụ như logs liên quan đến Create Remote Thread, Process Access, v.v [Bảng 1.6].
91
Ví dụ, với hành vi sử dụng tiện ích reg.exe để dump thông tin trong tệp SAM thì logs sau khi cấu hình Windows GPO sẽ chỉ ghi được thông tin về đường dẫn của tiến trình và các tham số được sử dụng. Trong khi đó, dịch vụ Sysmon cho phép ghi lại mã băm của tiến trình reg, ghi được thêm thông tin của tiến trình cha đã khởi chạy tiến trình đó. Việc có thêm các thông tin bổ sung này cho phép xác định chính xác hơn các hành vi tấn công, ngay cả khi kẻ tấn công đổi tên các tiến trình thực thi. Từ đó giúp giảm số lượng cảnh báo sai trên hệ thống SIEM, cũng như có thêm nhiều nguồn thông tin hơn trong quá trình điều tra và xử lý sự cố trên máy chủ Windows.
Ví dụ, với hành vi sử dụng procdump để trích xuất thông tin từ tiến trình LSASS của Windows thì chỉ có logs được ghi lại bởi dịch vụ Sysmon như bên dưới.
92
Ngoài việc ghi được nhiều thông tin hơn, Sysmon còn cho phép lọc các sự kiện gây nhiễu, giúp giảm số lượng các sự kiện cần xử lý và lưu trữ bởi SIEM. Hơn nữa, nó còn cung cấp cơ chế cho phép tự giám sát việc thay đổi cấu hình, thay đổi trạng thái dịch vụ của chính nó.
Tuy có nhiều ưu điểm như vậy, nhưng dịch vụ Sysmon cũng có những điểm hạn chế nhất định. Thứ nhất, nó có thể tạo ra nhiều sự kiện gây nhiễu, hoặc bỏ sót các sự kiện và đòi hỏi người quản trị phải có kiến thức nhất định về các kỹ thuật tấn công mới có thể xây dựng được tệp cấu hình dịch vụ Sysmon. Thứ hai, do là giải pháp miễn phí, được phát triển và bổ sung bởi cộng đồng nên nó có thể chứa nhiều lỗi, cũng như tồn tại vấn đề về hiệu năng khi cài đặt trên máy chủ dịch vụ. Trong luận văn này, dịch vụ Sysmon chỉ được cấu hình trên hệ thống thử nghiệm tại phòng nghiên cứu nên có thể chưa phản ánh chính xác hiệu năng khi triển khai trong môi trường thực tế của doanh nghiệp. Thứ ba là nó cũng dễ dàng bị tắt, bị vô hiệu hóa hoặc phá hoại nên việc giám sát các khóa registry liên quan và cấu hình của dịch vụ là vô cùng cần thiết.