İçeriğe geç

Sysmon Kurulum ve Konfigurasyonu

Tarih: Ağustos 20, 2019 | Yazar: Okan Hazırcı

Sysmon Nedir ve Neler yapabilir ?

System Monitor’un kısaltması olan sysmon sistem üzerinde gerçekleşen olaylara dair normal şartlarda elde edemeyeceğiniz türden bir loglama yapmaya imkan veren sysinternals ailesi üyesi ücretsiz bir araç. Sysmon sayesinde olayların görünürlüğünü arttırıyoruz.(Log Zenginleştirme)

Neler Yapabilir ?

  • Komut Satırı loglama yapabiliyoruz.
  • Hash değerlerini çoklu şekilde kaydedebiliyoruz.
  • Versiyon 10 ile birlikte DNS loglama yapabiliyoruz.
  • Ağ Hareketlerini izleyebiliyoruz.
  • Dosya oluşturma zamanındaki değişikleri algılayabiliyoruz.

Event ID listesine  https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon  ‘den ulaşabilirsiniz. yinede görselini paylaşıyorum. 

Sysmon Konfigurasyonu XML formatındadır. 

Örnek format ;

<Sysmon schemaversion=”10.02″>

<HashAlgorithms>md5,sha256</HashAlgorithms>

<EventFiltering>

<Image condition=”is”>C:\Windows\system32\CompatTelRunner.exe</Image> <!–Microsoft:Windows: Customer Experience Improvement–>
<Image condition=”is”>C:\Windows\system32\audiodg.exe</Image> <!–Microsoft:Windows: Launched constantly–>

<DnsQuery onmatch=”exclude” />

</EventFiltering>
</Sysmon>

KURULUMU

Asagidaki baglantidan Sysmon eklentisini indiriyoruz:

https://docs.microsoft.com/tr-tr/sysinternals/downloads/sysmon

Zipli dosyadan dosyalari cikartiyoruz. C:/ dizininde oldugunu varsayarsak cmd ya da powershell uzerinden asagidaki komutu calistiriyoruz:(run as a administrator)

C:/Sysmon/Sysmon64 -accepteula -i -h md5,sha256 -n

Bu komut kurulum sartlarini kabul ederek sysmon’un sisteme kurulmasina izin verecektir. Yukaridaki diger parametreler ise md5 sh256 hashleme islemlerinin olusumunu ve ag baglantilarini monitoring edecek sekilde yapilandirilmasina olanak sagliyor.WMI kaynagi eklerken Sysmon ile alakali girdiği görebilmek için asagidaki yol üzerinde New Key oluşturuyoruz.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog altında oluşturmamız.Yeni Key Adimiz ise tirnaklar hariç “Microsoft-Windows-Sysmon/Operational”

Sysmon Kurulumu ve Event Log Yapılandırması

Artik log kaynagini eklerken asagidaki gibi

Microsoft-Windows-Sysmon/Operational’ i seçebilir isterseniz Event Viewer üzerinden de kontrollerinizi gerçekleştirebilirsiniz.

Tarih:Kurulum ve Konfigurasyonlar

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir