Sysmon günlüklerinde gezinmek için kapsamlı bir kılavuz

Sürekli olarak gelişimlerin yaşandığı siber güvenlik ortamında, tehditlerden bir adım önde olmak önemlidir. Sysmon günlükleri, değerli içgörüler sağlayarak ve kuruluşların güvenlik duruşlarını güçlendirmelerini mümkün kılarak bu amaç kapsamındaki çalışmalarda önemli bir rol oynar.

Windows, kurumsal ortamlarda yaygın olarak kullanılan işletim sistemidir ve Windows olay günlüklerini, bunların ayırt edici özellikleri ile sınırlamalarını ve Sysmon aracılığıyla bunların nasıl geliştirilebileceğini anlamak kritik önem taşır.

Sysmon günlükleri nelerdir?

Sysmon günlükleri, Microsoft Sistem İzleyicisi (Sysmon) tarafından oluşturulan olay günlükleridir. Bunlar, Windows'ta gerçekleştirilen sistem düzeyindeki işlemler hakkında ayrıntılı bilgi verir ve işlem başlatma, ağ bağlantıları, dosya ve kayıt defteri değişiklikleri, sürücü ve hizmet etkinliği ve WMI eylemleri gibi etkinlikleri kaydeder. Güvenlik uzmanları, Sysmon günlüklerini analiz ederek genel sistem izlemesini ve güvenliğini iyileştirmek üzere potansiyel riskleri tespit edebilir, anormallikleri saptayabilir ve güvenlik olaylarına yanıt verebilir.

Sysmon günlükleri nerede saklanır?

Sysmon günlükleri Windows Olay Günlüğünde saklanır. Tam olarak Microsoft-Windows-Sysmon/Operational olay günlüğü kanalında bulunurlar.

Sysmon günlüklerini almak için:

• Windows sisteminde Olay Görüntüleyicisini açın.
• Uygulamalar ve Hizmetler Günlükleri alanını genişletin.
• Microsoft-Windows-Sysmon/Operational günlüğünü bulun ve Sysmon günlük girişlerini görüntüleyin.

Sysmon günlükleri neden önemlidir?

Sysmon günlükleri, sistem güvenliğini artırma ve olay yanıtlarının etkili bir biçimde verilmesini sağalama konularında üstlendikleri kritik rol nedeniyle önemlidir. Sysmon günlüklerinin önemini anlamak için gerçek hayattan alınmış bir örneği inceleyelim:

Karmaşık bir ağ altyapısının ve çok sayıda uç noktanın bulunduğu bir organizasyonda, bir gün güvenlik ekibi potansiyel bir güvenlik ihlaline işaret edebilecek olağan dışı ağ etkinliklerinin bulunduğunu tespit ediyor. Ekip, olayı incelemek için, dikkatlice yapılandırılmış ve ağ genelinde dağıtılmış olan Sysmon günlüklerini kullanıyor. Sysmon günlüklerinde olağan dışı bir resim dosyası adının ve şüpheli komut satırı girişleri içeren bir işlem oluşturma olayının bulunduğunu fark ediyorlar. Daha detaylı incelemeler sonucunda, işlemin şüpheli harici IP adresleriyle iletişim halinde olduğu açığa çıkarılıyor.

Güvenlik ekibi, Sysmon günlüklerine kaydedilen verileri kullanarak olay dizisini bir araya getirebiliyor. Şirketin ağına sızıldığını ve bir saldırganın sisteme erişim sağladığını fark ediyorlar. Günlükler, kötü amaçlı işlem ve etkinliği hakkında önemli kanıtlar sunarak ekibin saldırının kaynağını izlemesini, etkisini anlamasını ve etkili bir yanıt stratejisi geliştirmesini mümkün kılıyor.

Sysmon tarafından günlüğe kaydedilen önemli olaylar

İşlem oluşturma

Sysmon günlüklerinde Olay Kimliği 1 ile belirtilen işlem oluşturma, Windows sisteminde işlemlerin oluşturulmasıyla ilgili değerli içgörüler sunar. Bu günlükler, işlem kimliği, üst işlem kimliği, resim adı, komut satırı parametreleri, oluşturma seçenekleri, dosya karma değerleri, dijital imzalar, üst işlem bilgileri ve ağ bağlantıları gibi önemli bilgileri sağlar. Sysmon'un yapılandırma seçenekleri, kaydedilen bilgilerin belirli gerekliliklerle uyumluluğu sağlamak amacıyla özelleştirilebilmesini sağlar.

Bir işlem bir dosyanın oluşturulma zamanını değiştirdi

Sysmon günlüklerindeki Olay Kimliği 2, bir işlemin bir dosyanın oluşturma zamanını değiştirdiğini gösterir. Bu olay, bir işlemin başta oluşturma zaman damgasının değiştirilmesi olmak üzere dosyayla ilişkili meta verileri değiştirdiği durumlar hakkında içgörüler sağlar. Oluşturma zamanının değiştirilmesi, yetkili bir kullanıcı tarafından meşru amaçlar için gerçekleştirilmiş kasıtlı bir eylem olabilir. Ancak, şüpheli bir etkinliğe veya olası bir güvenlik ihlaline işaret ediyor olması da mümkündür.

Ağ bağlantısı

Sysmon günlüklerindeki Olay Kimliği 3, ağ bağlantısı olaylarını ifade eder. Bağlantıyı başlatan programın işlem kimliği (PID), yerel uç noktanın kaynak IP'si ile bağlantı noktası, uzak uç noktanın hedef IP'si ile bağlantı noktası ve kullanılan protokol gibi temel bilgileri sağlar. Ağ bağlantılarının analiz edilmesi, ağ trafiğini izleme, şüpheli bağlantıları belirleme, uygulama davranışlarını izleme ve güvenlik olaylarını inceleme konularında yardımcı olur. Sysmon sürümüne ve yapılandırma ayarlarına bağlı olarak Sysmon günlüklerinin yapısının ve alanlarının değişiklik gösterebileceğini lütfen dikkate alın.

Sysmon hizmeti durumu değiştirildi

Olay Kimliği 4 ile belirtilen durum değişikliği olayı, Sysmon hizmetinin başarılı bir şekilde başlatıldığını ya da durdurulduğunu belirtebilir. Hizmetin başlatılması, Sysmon hizmetinin başlatıldığını ve sistem etkinliğinin artık izlenmekte ve günlük kaydının yapılmakta olduğunu gösterir. Bir hizmetin durdurulması, ilgili hizmet bir yönetici tarafından manuel olarak durdurulduğunda veya hizmetin kendisinde bir sorun olduğunda gerçekleşir.

Sürücü yüklendi

Bir sürücü yüklendiğinde, bu sürücü işletim sistemi çekirdeğinin ayrılmaz bir parçası haline gelir ve çekirdeğin donanım cihazlarıyla iletişim kurmasına ve düşük seviyedeki görevleri gerçekleştirmesine imkan verir. Olay Kimliği 6 ile gösterilen Sürücü yüklendi olayı, sürücüyü yüklemekten sorumlu prosedürle ilgili ayrıntıların yanı sıra sürücü dosyasının kendisiyle ilgili bilgileri kaydeder.

Dosya oluşturma ve değiştirme

Sysmon, dosyalar sisteme eklendiğinde, değiştirildiğinde veya sistemden kaldırıldığında olayları kaydeder. Olay Kimliği 11, dosyanın yolu, dosyayı oluşturan veya değiştiren işlem ve dosyanın karma değerine ilişkin ayrıntılar içerir. Bu, yetkisiz dosya değiştirme etkinliklerinin veya şüpheli davranışların tespit edilmesini kolaylaştırır.

WMI etkinliği

Windows'un WMI yönetimi mimarisi, geliştiricilerin ve yöneticilerin sistem verileri ile yapılandırma ayarlarını uzaktan görüntüleyerek değiştirebilmesini ve talimatları yürütebilmesini sağlar. Sysmon günlükleri, sırasıyla WMI olay filtrelemesi ve olay tüketimi hakkında bilgi toplayan ve Olay Kimlikleri19 (WmiEventFilter) ve 20 (WmiEventConsumer) olan girişler içerir.

Sysmon günlük yönetiminin yaşam döngüsünü anlama

Sysmon günlüklerinin toplanma ve analiz edilme süreci birkaç temel adımı içerir.

• Dağıtım: Olay bilgilerinin kaydedilmesini başlatmak için Windows sistemlerinizde Sysmon dağıtımı yapın. Toplu yükleme için Grup İlkesi veya komut dosyası kullanma gibi otomatik dağıtım tekniklerinden faydalanabilir veya Sysmon yazılımını Microsoft web sitesinden indirerek her makineye ayrı ayrı yükleyebilirsiniz.
• Yapılandırma: Sysmon'u izlenmesi istenen olayları ve günlük kaydı hedefini belirtecek şekilde yapılandırın. Sysmon'u kurmak için izlenecek ve günlük kaydı yapılacak olayları belirten bir yapılandırma dosyası kullanılabilir. Gerektiğinde belirli olay türlerini etkinleştirerek veya silerek yapılandırma dosyasını benzersiz ihtiyaçlarınızı karşılayacak biçimde ayarlayabilirsiniz.
• Günlük toplama: Sysmon günlükleri normalde Windows Olay Günlüğünde XML biçiminde yayınlanır. Sysmon günlüklerini toplamak için Windows Olay İletme (WEF), merkezi bir günlük kaydı çözümü veya bir SIEM çözümü gibi çeşitli yöntemleri kullanabilirsiniz. Bu teknikleri kullanarak, çeşitli sistemlerden gelen günlükleri daha fazla analiz için tek bir yerde birleştirebilirsiniz.
• Günlük depolama ve saklama: Günlükleri depolamak ve yeterli bir süre boyunca saklamak için yeterli kapasiteye sahip olduğunuzdan emin olmak üzere uygun bir günlük depolama ve saklama stratejisi oluşturmanız önemlidir. Kuruluşunuzun ihtiyaçlarına ve uyumluluk gerekliliklerine göre günlükleri her sistemde yerel olarak veya bir günlük yönetim sisteminde merkezi olarak depolamayı seçebilirsiniz.
• Günlük analizi: Toplanan Sysmon günlüklerini manuel teknikler ve otomatik araçlar ile analiz edin. Sysmon günlükleri, şüpheli etkinlikleri, güvenlik ihlali göstergelerini tanımlamak ve sistem davranışını anlamak amacıyla işlem oluşturma, ağ bağlantıları, dosya oluşturma veya değiştirme, kayıt defteri değişiklikleri ve daha fazlasını içeren çeşitli olay türlerini barındırır.
• Tehdit avcılığı: Sysmon günlükleri, proaktif tehdit avcılığı için son derece kullanışlı bir araç olabilir. SIEM veya günlük yönetim sisteminizde olağan dışı etkinlik veya tanınan saldırı düzenlerine dair göstergeleri aramak için sorgular veya kurallar oluşturun. Bu yöntemle, her zaman belirgin olmayabilecek güvenlik açıklarını veya olası riskleri tespit edebilirsiniz.
• Olay yanıtı ve ayrıntılı neden incelemesi: Olay yanıtı ve ayrıntılı neden incelemeleri sırasında analiz edilen Sysmon günlüklerini kullanarak zaman çizelgelerini yeniden yapılandırın, saldırgan eylemlerini izleyin ve güvenlik olaylarının etkisini belirleyin.

EventLog Analyzer, Sysmon günlüklerinin izlenmesini ve incelenmesini nasıl destekler?

ManageEngine EventLog Analyzer, merkezi toplama, analiz ve raporlama özellikleriyle Sysmon günlük izleme süreçlerinde iyileştirme sağlayan bir günlük yönetimi ve SIEM çözümüdür. Windows sistemleri tarafından üretilen Sysmon günlüklerini toplamak, analiz etmek, arşivlemek ve raporlamak için birleşik bir platform olarak işlev görür.

EventLog Analyzer:

• Çeşitli süreçleri izleyerek ayrıntılı içgörüler sunar.
• Günlüklerdeki saldırı eğilimlerini etkili bir şekilde saptar.
• Günlük verilerini ileriye dönük ayrıntılı neden incelemeleri için saklar.
• Olay günlüğü dosyaları ve Sysmon toplayıcıları dahil olmak üzere birden fazla kaynaktan gelen Sysmon günlüklerini birleştirerek sistem işlemlerinin kapsamlı bir biçimde anlaşılmasını mümkün kılar.
• Kayıt defteri anahtarları ve değerlerindeki değişiklikleri etkin bir şekilde izler ve kaydeder.

EventLog Analyzer'ın Sysmon günlük analizlerinde iyi bir seçenek olarak öne çıkmasının nedenlerini öğrenmek için buraya tıklayın.

Sırada ne var?