Olay Görüntüleyicisinde Sysmon ve Log kaydının Hash İncelemesi

Olay Görüntüleyicisinde Sysmon Yeri

 Sysmon ara yüzüne giriş için başlat menüsünden Olay görüntüleyicisi açılır ve soldaki seçeneklerden  Uygulama ve Hizmet günlüklerini seçilir ardından Microsoft alt başlığından Windows ‘ a tıklanır ve Sysmon seçeneğinden Operational seçilerek arayüze ve kayıtlara ulaşılır.

Olay Görüntüleyicisinde Sysmon 

 Sysmon'un altında oparational seçeneğini seçince karşımıza çıkacak olan sekme aşağıda verilmiştir.

Sağ taraftaki Özel Görünüm oluştur sekmesine tıkalyınca filtreleme ekranına benzer bir ekran gelir.

 Operational sekmesi altındaki log kayıtlarınnın herhangi birinde bilgi veya ayrıntıya tıkayınca ayrıntı yeri aşağıdaki gibi iki sekme olarak gelecektir.

Bu sekmelerde log hakkındaki olan tüm bilgileri inceleyebileceğiz.

Kayıtların HASH değerlerine göre inceleme ve yorumlama

 Sysmon içerisindeki çoğu kayıtta hash değeri tutulmaktadır. Şüpheli log kayılarının hash değerleri virüstotal gibi sitelerde sorgulanabilinir.

Kopyalanan hash değeri virüstotal sitesinde karalistedeki hash değerleri filtrelemesiyle sorgulanır.

 Sorgulatılan HASH değeri veritabanlarında aratılır ve Kara Listedeki HASH değerine sahip kayıtlar incelenmeye alınabilir.