0

Şu anda Boş: 0,00

Alışverişe devam et

  1. Anasayfa
  2. Ağ Güvenliği
Ağ Güvenliği, Siber Güvenlik, Siber Tehditler

Sysmon Log Analizi: Windows Sistemlerde Tehdit Avcılığı

Ağustos 14, 2024
Sysmon Log Analizi

Sysmon Log Analizi, Günümüzde siber güvenlik tehditleri giderek karmaşıklaşırken, Windows sistemlerde etkili log analizi ve threat hunting kritik önem taşıyor. Sysmon, bu alanda güvenlik uzmanlarına güçlü bir araç sunarak sistem olaylarını detaylı şekilde kaydetmeye ve incelemeye olanak sağlıyor. Bu araç, SOC ve SIEM çözümleriyle entegre çalışarak, güvenlik ekiplerinin potansiyel tehditleri erken aşamada tespit etmesine ve hızlı yanıt vermesine yardımcı oluyor

Bu makalede, Sysmon’un nasıl çalıştığını ve Windows sistemlerde tehdit avcılığı için nasıl kullanılabileceğini inceleyeceğiz. Önemli Sysmon olay kimliklerini ele alacak ve bu verileri kullanarak etkili tehdit avcılığı teknikleri geliştirmeye odaklanacağız. Ayrıca, Sysmon’un WMI olaylarını izleme yeteneği ve bu bilgilerin güvenlik analizindeki rolünü de değerlendireceğiz. Sonuç olarak, Sysmon’un modern siber güvenlik stratejilerindeki yerini ve önemini vurgulayacağız.

Sysmon Nedir ve Nasıl Çalışır?

Sysmon (System Monitor), Microsoft tarafından geliştirilen ve Windows sistemlerde derinlemesine izleme yapan güçlü bir araçtır. Bu araç, sistem etkinliklerini detaylı bir şekilde kaydederek, güvenlik uzmanlarına gelişmiş tehditleri tespit etme konusunda yardımcı olur. Sysmon, standart antivirüs veya ana bilgisayar tabanlı saldırı tespit sistemlerinden (HIDS) farklı olarak, sistem aktivitelerini daha kapsamlı bir şekilde izler ve potansiyel tehditlerin güvenilir göstergelerini kaydeder.

Sysmon’un Temel Özellikleri

Sysmon, aşağıdaki önemli etkinlikleri izler ve kaydeder:

  1. İşlem oluşturma ve sonlandırma (tam komut satırı ve hash değerleriyle birlikte)
  2. Ağ bağlantıları
  3. Dosya oluşturma ve zaman damgası değişiklikleri
  4. Sürücü ve DLL yükleme
  5. Uzak iş parçacığı oluşturma
  6. Ham disk erişimi
  7. İşlem belleği erişimi

Bu özellikler, güvenlik ekiplerine sistem üzerindeki şüpheli aktiviteleri tespit etme ve analiz etme konusunda büyük avantaj sağlar.

Sysmon Kurulumu ve Yapılandırması

Sysmon’u kurmak ve yapılandırmak için aşağıdaki adımları izleyebilirsiniz:

  1. Sysmon’u Microsoft’un resmi web sitesinden indirin.
  2. İndirilen zip dosyasını çıkarın ve içindeki .exe dosyasını yönetici olarak çalıştırın.
  3. Yapılandırma dosyası olarak, SwiftOnSecurity’nin GitHub deposundan “sysmonconfig-export.xml” dosyasını indirin.
  4. Komut istemini yönetici olarak açın ve şu komutu çalıştırın:sysmon.exe -accepteula -i sysmonconfig-export.xml

Bu adımları takip ederek, Sysmon’u sisteminize kurmuş ve önceden hazırlanmış bir yapılandırma ile çalışır hale getirmiş olursunuz.

Sysmon Log Konumları

Sysmon, oluşturduğu logları Windows Olay Günlüğü’ne kaydeder. Bu loglara erişmek için:

  1. Olay Görüntüleyicisi’ni açın.
  2. “Uygulamalar ve Hizmetler Günlükleri” > “Microsoft” > “Windows” > “Sysmon” > “Operational” yolunu takip edin.

Bu konumda, Sysmon tarafından kaydedilen tüm sistem etkinliklerini detaylı bir şekilde inceleyebilirsiniz. Loglar, UTC zaman damgasıyla kaydedilir ve XML formatında saklanır.

Sysmon, güvenlik analistlerine ve sistem yöneticilerine, Windows sistemlerde gerçekleşen olayları derinlemesine analiz etme imkanı sunar. Bu sayede, potansiyel güvenlik tehditleri erken aşamada tespit edilebilir ve gerekli önlemler alınabilir.

Önemli Sysmon Olay Kimlikleri

Sysmon, Windows sistemlerde gerçekleşen çeşitli olayları kaydeder ve bu olayları belirli kimliklerle (Event ID) etiketler. Bu olay kimlikleri, güvenlik analistlerine ve sistem yöneticilerine, potansiyel tehditleri tespit etmede ve sistem davranışlarını anlamada yardımcı olur. İşte en önemli Sysmon olay kimlikleri ve bunların anlamları:

Process Oluşturma ve Sonlandırma Olayları

Event ID 1 (Process Creation): Bu olay, bir işlem oluşturulduğunda kaydedilir. İşlem oluşturma olayları, tam komut satırı ve hash değerleriyle birlikte detaylı bilgi sağlar. Bu, kötü amaçlı yazılımların veya şüpheli aktivitelerin tespitinde kritik öneme sahiptir.

Event ID 5 (Process Terminated): Bir işlem sonlandırıldığında bu olay oluşturulur. Olay, işlemin UtcTime, ProcessGuid ve ProcessId değerlerini içerir. Bu bilgiler, bir işlemin ne zaman ve nasıl sonlandırıldığını anlamak için önemlidir.

Dosya ve Kayıt Defteri İşlemleri

Event ID 11 (FileCreate): Bir dosya oluşturulduğunda veya üzerine yazıldığında bu olay kaydedilir. Bu, özellikle başlangıç klasörleri, geçici dizinler ve indirme klasörleri gibi kötü amaçlı yazılımların sıkça kullandığı yerleri izlemek için kullanışlıdır.

Event ID 12 ve 13 (RegistryEvent): Bu olaylar, kayıt defteri anahtarı ve değeri oluşturma, silme ve değiştirme işlemlerini kaydeder. Kayıt defteri değişiklikleri, kötü amaçlı yazılımların sık kullandığı bir yöntem olduğundan, bu olaylar güvenlik açısından önemlidir.

Event ID 14 (RegistryEvent – Key and Value Rename): Kayıt defteri anahtarı veya değeri yeniden adlandırıldığında bu olay oluşturulur ve yeni adı kaydeder.

Ağ Bağlantıları ve DNS Sorguları

Event ID 3 (NetworkConnect): Bu olay, bir işlem ağ bağlantısı kurduğunda oluşturulur. IP adresleri, port numaraları ve diğer bağlantı detaylarını içerir. Bu bilgiler, şüpheli dış bağlantıların tespitinde kritik öneme sahiptir.

Event ID 22 (DNSEvent): Bir işlem DNS sorgusu yaptığında, sonucun başarılı veya başarısız olmasına ve önbelleğe alınıp alınmadığına bakılmaksızın bu olay oluşturulur. DNS sorgularının izlenmesi, kötü amaçlı alan adlarına yapılan bağlantıları tespit etmek için önemlidir.

Bu olay kimlikleri, Sysmon’un Windows sistemlerde sağladığı detaylı izleme ve kayıt tutma yeteneklerinin sadece bir kısmıdır. Güvenlik uzmanları, bu olayları analiz ederek sistem üzerindeki normal ve anormal davranışları ayırt edebilir, potansiyel tehditleri erken aşamada tespit edebilir ve gerekli önlemleri alabilir.

Sysmon ile Tehdit Avcılığı Teknikleri

Sysmon, tehdit avcılığı için güçlü bir araç olarak öne çıkmaktadır. Bu araç, sistem üzerindeki aktiviteleri detaylı bir şekilde kaydederek, güvenlik analistlerine potansiyel tehditleri tespit etme konusunda büyük avantaj sağlar. Sysmon’un sunduğu veriler, çeşitli tehdit avcılığı tekniklerinin uygulanmasına olanak tanır.

Şüpheli Process Aktivitelerini Tespit Etme

Sysmon’un Event ID 1 (Process Creation) özelliği, sistemde oluşan süreçler hakkında detaylı bilgi sunar. Bu, şüpheli process aktivitelerini tespit etmek için kritik öneme sahiptir. Örneğin, alışılmadık komut satırı parametreleri veya beklenmedik parent-child process ilişkileri, potansiyel tehditlerin göstergesi olabilir.

Event ID 8 (CreateRemoteThread) ise, bir process’in başka bir process’te bir workflow oluşturduğunu algılar. Bu teknik, kötü amaçlı yazılımlar tarafından kod enjeksiyonu ve sistem üzerinde gizlenmede sıkça kullanılır. Güvenlik analistleri, bu olayları izleyerek zararlı yazılım aktivitelerini erken aşamada tespit edebilir.

Sysmon Log Analizi
Sysmon Log Analizi

Zararlı Yazılım Davranışlarını Belirleme

Sysmon’un Event ID 11 (FileCreate) özelliği, zararlı yazılım davranışlarını belirlemede önemli bir rol oynar. Bu olay, bir dosya oluşturulduğunda veya üzerine yazıldığında kaydedilir. Özellikle başlangıç klasörleri, geçici dizinler ve indirme klasörleri gibi kötü amaçlı yazılımların sıkça kullandığı yerlerdeki dosya oluşturma aktiviteleri yakından izlenmelidir.

Event ID 12 ve 13 (RegistryEvent) ise, kayıt defteri anahtarı ve değeri oluşturma, silme ve değiştirme işlemlerini kaydeder. Bu olaylar, zararlı yazılımların sık kullandığı bir yöntem olan kayıt defteri değişikliklerini tespit etmek için kullanılır.

Veri Sızıntısı Girişimlerini Yakalama

Veri sızıntısı girişimlerini yakalamak için Sysmon’un Event ID 3 (NetworkConnect) özelliği kullanılabilir. Bu olay, bir işlem ağ bağlantısı kurduğunda oluşturulur ve IP adresleri, port numaraları gibi bağlantı detaylarını içerir. Şüpheli dış bağlantıların tespitinde bu bilgiler kritik öneme sahiptir.

Event ID 22 (DNSEvent) ise, DNS sorgularını izleyerek potansiyel veri sızıntısı girişimlerini tespit etmeye yardımcı olur. Kötü amaçlı alan adlarına yapılan bağlantılar, bu olay kaydı sayesinde belirlenebilir.

Sysmon’un sunduğu bu detaylı log kayıtları, güvenlik analistlerine sistem üzerindeki normal ve anormal davranışları ayırt etme, potansiyel tehditleri erken aşamada tespit etme ve gerekli önlemleri alma konusunda büyük avantaj sağlar. Bu teknikler, modern siber güvenlik stratejilerinin vazgeçilmez bir parçası haline gelmiştir.

Sysmon Log Analizi
Sysmon Log Analizi

Sonuç

Sysmon, Windows sistemlerde tehdit avcılığına güçlü bir katkı sağlar. Bu araç, sistem etkinliklerini ayrıntılı bir şekilde kaydederek güvenlik uzmanlarına potansiyel tehditleri erken tespit etme ve hızlı yanıt verme konusunda yardımcı olur. Önemli olay kimlikleri ve log analizi teknikleri, normal ve şüpheli davranışları ayırt etmeye olanak tanır. Bu da siber güvenlik stratejilerinin önemli bir parçası haline gelmiştir.

Sonuç olarak, Sysmon’un Windows sistemlerde kullanımı, güvenlik ekiplerine detaylı izleme ve analiz yetenekleri sunar. Bu araç, modern tehdit avcılığı tekniklerini uygulamak için gerekli verileri sağlar ve böylece kurumların siber güvenlik duruşunu güçlendirir. Sysmon Log analizi’nin sağladığı bu avantajlar, günümüzün karmaşık siber tehdit ortamında etkili savunma stratejileri geliştirmek için çok önemlidir.

Sysmon Log Analizi Hakkında Sıkça Sorulan Sorular

Sysmon logu ne işe yarar?

Sysmon logu, sistemde meydana gelen hareketleri ve olayları kaydeden, bu kayıtları analiz etmek ve görüntülemek için kullanılan bir uygulamadır. Event Log olay görüntüleyicisi aracılığıyla bu durumları kullanıcıya sunar.

Sysmon64 exe dosyasının amacı nedir?

Sysmon64 exe, yani Sistem İzleyicisi, bir sisteme kurulduktan sonra sistem aktivitelerini sürekli olarak izler ve bu bilgileri Windows olay günlüğüne kaydeder. Sistem yeniden başlatıldığında otomatik olarak çalışmaya devam eden bir Windows sistem hizmeti ve cihaz sürücüsüdür.

Event ID 3 hangi bilgileri içerir?

Event ID 3, cihaza yapılan TCP/UDP ağ bağlantılarının loglarını içerir. Bu olay varsayılan olarak devre dışıdır ve ilgili süreçle bağlantılı ProcessId, ProcessGUID, kaynak/ hedef host adları, IPv4/IPv6 adresleri ve port numaraları gibi bilgilere erişim sağlar.

Event ID 1 ve Event ID 2 nedir?

Event ID 1, sistemde oluşturulan süreçler hakkında detaylı bilgi sağlar ve bu bilgileri günlüğe kaydeder. Event ID 2 ise sistem üzerinde yeni oluşturulan dosyaların oluşturulma zamanlarını ve bu zamanların bütünlüğünü kontrol etmek için kullanılır, ayrıca bu bilgileri de günlüğe kaydeder.

CyberSkills Hub

CyberSkillsHub, siber güvenlik dünyasının yenilikçi ve teknoloji meraklısı bir figürüdür. CyberSkillsHub’un en büyük özelliği, Akıllı Sınav sistemidir, bu sistem sayesinde öğrencilerin bilgi eksikliklerini anında belirleyebilir ve onlar için özel kurslar tasarlayabilir. Bu dinamik karakter, sadece en yeni ve en güçlü güvenlik teknolojilerine hakim değil, aynı zamanda öğrencilerin ihtiyaçlarını anlamaya odaklanmış bir eğitmen olarak da öne çıkmaktadır. İster bir başlangıç seviye öğrencisi olun, ister deneyimli bir profesyonel, CyberSkillsHub, sizin siber güvenlik yolculuğunuzda yanınızda olacak güvenilir bir rehberdir. İnsanlarla etkileşime geçme yeteneği ve teknolojiye olan tutkusu, CyberSkillsHub'u öğrencilere kişiselleştirilmiş, etkili ve anlamlı eğitim sağlama konusunda benzersiz kılar. Siber güvenliği herkes için erişilebilir ve anlaşılır kılmak, CyberSkillsHub’un misyonunun temelidir.

İlgili Yazılar

CyberSkillsHub olarak hedefimiz, herkesin siber güvenlik becerilerini geliştirebileceği, kolay erişilebilir ve yüksek kaliteli bir siber güvenlik eğitim platformu oluşturmak.

Sayfalar

© 2024 CyberSkillsHub. Tüm Hakları Saklıdır.

Bizi sosyal medyada takip edin

Youtube Linkedin Twitter Facebook Telegram Instagram Discord