SYSMON Log Analizi Nedir,Nasıl Kurulur?

sysmonlog , loganalizimönitörü

  Adli Bilişim   Şubat 12, 2022   0   4366  Okuma Listesine Ekle
SYSMON Log Analizi Nedir,Nasıl Kurulur?

 Her geçen gün gelişen ve karmaşıklaşan siber tehditler, tehditleri önleyici güvenlik ürünlerine yakalanmamaktadır. Bilişim sistemlerinin güvenliğini sağlayabilmenin en önemli noktalarından biri de log kaydı tutmaktır. Log kaydı, sistemde oluşan olayların veya hareketlerin kayıt altına alındığı dosyalardır.

 

Sysmon nedir?

 Sysmon (system monitor), yüklendiği sistem üzerindeki aktiviteleri kayıt altına alan Microsoft’un geliştirdiği bir araçtır.

 Monitoring için önemli yer kaplayan bir uygulama. Sysmon sistemde oluşan hareketleri, olayları vb. kayıt altına alan ve bu kayıtları görüntüleme durumunu sağlayan bir uygulamadır. Yani Log tutmak ve analizleri için kullanılan bir uygulama. Event Log olay görüntüleyicisi aygıtı ile oluşan durumları arayüzle bize sunar.

 

 

Sysmon Özellikleri

  • Geçerli ve ana işlemler (parent) süreçlerini komut satırında loglara kaydeder.

 

  • SHA1, MD5, SHA256 veya IMPHASH yöntemleriyle imaj dosyalarını hashleyerek kaydeder.

 

  • Birden fazla hash fonksiyonu aynı anda kullanılabilir.

 

  • Sürücü ve DLL dosyalarının yüklenmesini imzalarla ve hash fonksiyonlarıyla birlikte loglara kaydeder.

 

  • Disklerde ve volümlerde okuma izni için loglama yapar.

 

  • İsteğe bağlı olarak, ağ bağlantılarını, IP adreslerini, portları, hostname bilgilerini loglara kaydeder.

 

  • Dosya oluşturma zamanlarının değiştirilmesi, zararlı yazılımların izlerini örtmek için kullandığı yöntemlerdendir. Bu yüzden dosyanın gerçekten ne zaman oluşturulduğunu anlamak için değişiklikleri algılayarak loglara kaydeder.

 

  • Kayıt Defteri Düzenleyicisinde (The Registry) herhangi bir yapılandırma meydana gelirse otomatik olarak yeniden yükleme yapar.

 

  • Belirli olayları dinamik olarak dahil etmek ya da hariç tutmak için kural filtrelemesi yapar.

 

  • Önyükleme işleminden itibaren olayları loglar, böylece kernel-mode zararlı yazılımları etkinliklerinini tespit edebilir.

 

Kurulum

  • Verilen bağlatıdan sysmon indirilir.

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

  • İndirilen dosya rar’dan çıkartılır.

 

  • Çıkartılan dosyanın içindeki sysmon.exe programının yeri kopyalanır.

 

  • Başlat menüsünden cmd çalıştırılır.

 

  • Komut satırı yerine sysmon.exe olduğu konum ve yanına “–h” gelecek şekilde yazılır.

 

 

  • Komut satırında bu şekilde kulanım klavuzu yeri gelince “sysmon.exe –i “ yazılır.

 

  • exe kurulduktan sonra “sysmon.exe –m –c “ yazılarak enter’a basılır

 

Sysmon kurulumu tamamlanmıştır.

Konfigürasyon

 

 Sysmon kurulduğu zaman kendisinin varsayılan konfigürasyon dosyası ile kurulumu yapar. Fakat kullanıcının kendi konfigürasyon dosyasını oluşturması da mümkündür. Sysmon, konfigürasyon için XML dosya formatını kullanır.

 Kurulduktan sonra, Sysmon kendisini varsayılan bir yapılandırma dosyasıyla kurar. Ancak kullanıcının kendi yapılandırma dosyasını oluşturması da mümkündür. sistem, yapılandırma için XML dosya biçimini kullanır .

 Filtrelemeler için kullanılan taglar aşağıda verilmiştir.

Aşağıdaki işlem yapıldığı sırada  hiçbir loglama yapılmayacaktır.

 Condition özellikleri ve tipleri;

 

Etiket

Taha GÖRGÖZ

Adım Taha , 23 yaşındayım ve Adli Bilişim Mühendisliğinden mezunum. Kurucularından olduğum sibermetin.com sitesinde içerik üretiyor, teknik desteği sağlıyorum ve editörlük yapıyorum. Şu anda Tehdit ve Zafiyet Yönetimi Mühendisi olarak çalışıyorum. Siber güvenlik ve Adli bilişim üzerinde edindiğim bilgileri paylaşmaya çalışıyorum. Beni aşağıdaki sosyal medya hesaplarımdan takip edebilirsin. Herhangi bir sorun için bana mail atabilirsin.