EventLog Analyzer kullanarak Sysmon günlük
analizi ile kötü amaçlı etkinlikleri tespit ederek önleyin

İndir
İndir
     

Sistem İzleyicisi (Sysmon), ayrıntılı günlük kaydı özellikleriyle donatılmış ve çoğunlukla varsayılan olarak kaydedilmeyen güvenlik olaylarını yakalayan bir Windows günlük kaydı eklentisidir. İşlem oluşturma, ağ bağlantıları, dosya sistemlerindeki değişiklikler ve daha fazlası hakkında bilgiler verir. Sysmon günlüklerini analiz etmek, kötü amaçlı etkinlikleri ve güvenlik tehditlerini tespit etmede büyük önem taşır.

Etkili bir günlük yönetimi çözümü olan ManageEngine EventLog Analyzer, uç nokta güvenliğini sağlamak için Sysmon günlüklerini tüm Windows ve Linux cihazlarından toplayabilir ve merkezi olarak izleyebilir.

Nasıl?

EventLog Analyzer, Sysmon günlüklerinin izlenmesine ve analiz edilmesine
nasıl yardımcı olabilir?

Sysmon yüklü cihazlardan günlüklerin alınması üzerine, EventLog Analyzer, kritik olaylar hakkında ayrıntılı bilgileri sezgisel grafikler ve çizelgeler biçiminde sunan kullanıma hazır raporları otomatik oluşturur.

  • İşlem
    izleme
  • Kötü amaçlı yazılım algılama
    ve inceleme
  • Ayrıcalık yükseltme
    algılama
  • Dosya
    izleme

  • denetimi
  • Kayıt defteri değişikliği
    denetimi
Günlük toplamayı otomatik ve merkezi bir hale getirin

Şüpheli yüklemeleri tespit etmek için işlem oluşturma etkinliklerini izleyin

EventLog Analyzer, mevcut durumda çalışmakta olan işlemlerin yanı sıra sonlandırılan işlemleri de içeren çeşitli işlemleri izlemenize yardımcı olur. İşlem hakkında, işlem adının yanı sıra, işlem kimliği, üst işlem adı ve işlem komut satırı gibi ek bilgileri de görüntüleyebilirsiniz. Bu bilgilerin tehdit akışlarıyla korelasyonunu belirleyerek, kötü amaçlı yazılım yükleme etkinliklerini veya kötü amaçlı yazılım saldırılarını tespit edebilirsiniz.

Günlük toplamayı otomatik ve merkezi bir hale getirin

Şüpheli yüklemeleri tespit etmek için işlem oluşturma etkinliklerini izleyin

EventLog Analyzer, mevcut durumda çalışmakta olan işlemlerin yanı sıra sonlandırılan işlemleri de içeren çeşitli işlemleri izlemenize yardımcı olur. İşlem hakkında, işlem adının yanı sıra, işlem kimliği, üst işlem adı ve işlem komut satırı gibi ek bilgileri de görüntüleyebilirsiniz. Bu bilgilerin tehdit akışlarıyla korelasyonunu belirleyerek, kötü amaçlı yazılım yükleme etkinliklerini veya kötü amaçlı yazılım saldırılarını tespit edebilirsiniz.

Sezgisel panolar

Kötü amaçlı yazılımları tespit edin, inceleyin ve durdurun

EventLog Analyzer, kötü amaçlı yazılımların kullandığı çeşitli teknikleri tespit etmenize ve incelemenize yardımcı olabilir. Örneğin, kötü amaçlı yazılımlar çoğu zaman izlerini gizlemek amacıyla dosya oluşturma zaman damgalarını değiştirir. EventLog Analyzer'ın dosya denetim raporlarıyla, dosya değişikliklerini gerçek zamanlı olarak analiz edebilirsiniz. Kötü amaçlı yazılımların kullandığı bir diğer yaygın teknik, işlem içi iletişim için adlandırılmış kanalların kullanılmasıdır. EventLog Analyzer'ın işlem denetim raporları, bir kanal oluşturulduğunda veya bağlandığında oluşturulan Sysmon olay günlüklerini izlemenize yardımcı olabilir.

Güvenli günlük arşivleme

Verilere yetkisiz erişimi durdurmak için ayrıcalık yükseltme eylemlerini tespit edin

EventLog Analyzer'ı MITRE ATT&CK çerçevesiyle tümleştirdiğinizde, ayrıcalık yükseltme saldırıları gibi kötü amaçlı etkinlikleri tespit etmek üzere Sysmon günlüklerini analiz edebilirsiniz. Örneğin, işlem oluşturma etkinliklerini izleyerek, bir sistemdeki işlem ayrıcalıklarını yükseltmek için Kullanıcı Erişim Denetimi mekanizmalarını atlatmaya çalışan saldırganları tespit edebilirsiniz.

Kapsamlı günlük analizi

Dosyaları izleyerek bütünlüklerini sağlayın

EventLog Analyzer ile dosya ve akış oluşturma işlemlerini izleyebilirsiniz. Bir dosya oluşturulduğunda veya bir dosyanın üzerine yazıldığında dosya oluşturma işlemleri günlüğe kaydedilir. Buna ek olarak, Ham Erişim Okuma raporuyla bir sürücüde gerçekleştirilen okuma işlemlerini de izleyebilirsiniz. Bu, ilgili dosyalara yönelik veri sızdırma saldırılarını önlemenize yardımcı olabilir. EventLog Analyzer'ın Dosya Akışı Oluşturma raporu ile bir dosya akışı oluşturulduğunda izleme yaparak tarayıcı indirme işlemleri aracılığıyla yürütülebilir dosyalarını veya yapılandırma ayarlarını bırakan belirli kötü amaçlı yazılımları takip edebilirsiniz.

Gelişmiş günlük araması

Ağ cihazlarını ve kaynaklarını denetleyin

EventLog Analyzer'ın detaylı Sysmon günlük analizi yapma özelliği sayesinde ağ bağlantılarını izleyebilir ve her bağlantının işlem kimliği, kaynak IP adresi, kaynak ve hedef bağlantı noktaları ve daha fazlası ile ilgili bilgi edinebilirsiniz. Buna ek olarak sonucundan (Başarılı, Başarısız veya Önbelleğe Alınmış) bağımsız olarak bir işlem bir DNS sorgusu yürüttüğünde oluşturulan günlükleri analiz edebilirsiniz.

Gerçek zamanlı olay uyarıları

Kayıt defteri ve yapılandırma değişikliklerini denetleyin

Saldırganlar bazı durumlarda, kayıt defterlerini kötü amaçlı uygulamaları başlatacak biçimde değiştirerek bir saldırı başlatır. EventLog Analyzer ile kayıt defteri anahtarları ve kayıt defteri değerlerindekiler gibi değişiklikleri izleyebilirsiniz.

Dahası, hizmetin sürüm numarasıyla birlikte çalışmaya başlayıp başlamadığını veya çalışmayı durdurup durdurmadığını belirten Hizmet Durumu Değişikliği raporunu kullanarak bir Sysmon hizmetinin durumunu izleyebilirsiniz.

Gerçek zamanlı olay uyarıları

Kayıt defteri ve yapılandırma değişikliklerini denetleyin

Saldırganlar bazı durumlarda, kayıt defterlerini kötü amaçlı uygulamaları başlatacak biçimde değiştirerek bir saldırı başlatır. EventLog Analyzer ile kayıt defteri anahtarları ve kayıt defteri değerlerindekiler gibi değişiklikleri izleyebilirsiniz.

Dahası, hizmetin sürüm numarasıyla birlikte çalışmaya başlayıp başlamadığını veya çalışmayı durdurup durdurmadığını belirten Hizmet Durumu Değişikliği raporunu kullanarak bir Sysmon hizmetinin durumunu izleyebilirsiniz.

   
           

EventLog Analyzer tarafından sunulan diğer çözümler

  • Windows günlük yönetimi

    EventLog Analyzer'ı kullanarak kötü amaçlı etkinlikleri tespit etmek için olay günlüğü verilerini toplayın, izleyin ve analiz edin. Ağınızı verimli bir şekilde güvenli hale getirmenize yardımcı olabilecek, eyleme geçirilebilir güvenlik bilgileri sağlar.

     

  • Syslog yönetimi

    EventLog Analyzer ile syslog yönetimini basitleştirin. Bu araç, çeşitli kaynaklardan alınan syslog mesajlarını merkezi olarak toplayabilir, filtreleyebilir, denetleyebilir ve bir tehdit tespit edildiğinde gerçek zamanlı uyarılar verebilir.

     

  • IIS ve Apache sunucusu günlük analizi

    IIS ve Apache web sunucularınızdaki web sunucusu saldırılarını EventLog Analyzer'ın yardımıyla tespit ederek azaltabilirsiniz. Ayrıca hata olayları, güvenlik saldırıları, kullanım analizleri ve daha fazlası ile ilgili grafik biçiminde, kapsamlı raporlar sunar.

  • Veritabanı denetimi

    Veritabanı sunucusu etkinliğini izleyin, analiz edin ve SQL eklemesi saldırıları ile hizmet reddi saldırıları gibi yaygın sunucu saldırılarına ilişkin gerçek zamanlı uyarılar ve ayrıntılı raporlar alın.

     

  • Ağ aygıtı izlemesi

    Çevre cihazlarınızdaki etkinlikleri denetleyerek ağa yetkisiz erişimleri önleyin. EventLog Analyzer'ın grafik biçimindeki önceden tanımlanmış raporlarını kullanarak şüpheli ağ olayları konusunda derinlikli içgörüler edinin.

     

  • Dosya bütünlüğü izleme

    EventLog Analyzer ile şirketinizin hassas verilerini yetkisiz erişim ve değişikliklere karşı koruyun. Herhangi bir olağan dışı etkinlik tespit edildiğinde gerçek zamanlı bildirimler alın.

     
Tüm özellikleri görüntüleyin
 
Sysmon günlük analizi konusunda EventLog Analyzer'ı tercih etmek için nedenler
1

Saldırı
tespiti

EventLog Analyzer, etkili Sysmon günlük analizini kullanarak ayrıcalık yükseltmeleri ve yanal hareketler gibi bilinen saldırı düzenlerini algılar.

2

Ağ işlemlerini
düzenleyin

EventLog Analyzer, Sysmon günlük analizi ile ağ trafiğinin düzenlenmesine ve kötü amaçlı trafiğin algılanmasına yardımcı olur.

 
3

Olayları
ilişkilendirin

Saldırıları erken aşamalarda tespit etmek için işlem oluşturma veya değiştirme olayları ile tehdit bilgileri veya diğer güvenlik olayları arasındaki korelasyonu belirleyin.

4

Sysmon günlüklerini güvenli bir
şekilde saklayın

Sysmon günlüklerinizi ileride gerçekleştirilebilecek ayrıntılı neden analizleri ve düzenleyici kurum uyumluluk gereklilikleri amaçları kapsamında güvenli bir şekilde arşivleyin.

5

Günlük ayrıntılı
neden analizleri

EventLog Analyzer'ın güçlü günlük arama motoruyla ağ günlüklerinizi analiz ederek bir güvenlik ihlalinin temel nedenini tespit edin.

Sıkça sorulan sorular

Sysmon günlükleri nerede saklanır?

Sysmon günlük dosyaları aşağıda belirtilen dosya yolunda bulunabilir:
C:\Windows\System32\winevt\Logs\.

Olay Görüntüleyicisi'nde Sysmon günlüklerini Uygulamalar ve Hizmetler Günlükleri > Microsoft > Windows > Sysmon alanından görüntüleyebilirsiniz.

İzlemem gereken önemli Sysmon olay kimlikleri nelerdir?

İzlenmesi gereken Sysmon olayı kimlikleri:

  • Olay Kimliği: 1    İşlem oluşturma
  • Olay Kimliği: 2    Bir işlem bir dosyanın oluşturulma zamanını değiştirdi
  • Olay Kimliği: 3    Ağ bağlantısı
  • Olay Kimliği: 4     Sysmon hizmeti durumu değiştirildi
  • Olay Kimliği: 5     İşlem sonlandırıldı
  • Olay Kimliği: 6     Sürücü yüklendi
  • Olay Kimliği: 7     Resim yüklendi
  • Olay Kimliği: 8     CreateRemoteThread
  • Olay Kimliği: 9     RawAccessRead
  • Olay Kimliği: 10     ProcessAccess
  • Olay Kimliği: 11    FileCreate
  • Olay Kimliği: 12    RegistryEvent (Nesne oluştur ve sil)
  • Olay Kimliği: 13    RegistryEvent (Değer Ayarla)
  • Olay Kimliği: 14    RegistryEvent (Anahtar ve Değer Yeniden Adlandırma)
  • Olay Kimliği: 15    FileCreateStreamHash
  • Olay Kimliği: 16     Sysmon yapılandırma durumu değiştirildi
  • Olay Kimliği: 17     Kanal oluşturuldu
  • Olay Kimliği: 18     Kanal bağlandı
  • Olay Kimliği: 19     WmiEventFilter etkinliği algılandı
  • Olay Kimliği: 20     WmiEventConsumer etkinliği algılandı
  • Olay Kimliği: 21     WmiEventConsumerToFilter etkinliği algılandı
  • Olay Kimliği: 22     DNSEvent
  • Olay Kimliği: 23     FileDelete
  • Olay Kimliği: 24     ClipboardChange
  • Olay Kimliği: 25    Hata

EventLog Analyzer'da Sysmon günlüklerinin izlenmek üzere eklenmesi

EventLog Analyzer'da Sysmon günlüklerinin izlenmesi için, Ayarlar > Yapılandırma > Uygulama Kaynaklarını Yönet alanına gidilerek Sysmon yüklü cihazlar eklenebilir. Daha fazla bilgi edinmek için buraya tıklayın.

Sysmon nedir?

Sysmon, Windows sistem etkinlikleri hakkında işlem oluşturma, ağ bağlantıları ve dosya oluşturma zamanındaki değişiklikleri içeren ayrıntılı bilgileri gerçek zamanlı olarak sağlamak üzere geliştirilmiş bir Windows sistem cihazıdır. Yüklenip yapılandırılmasının ardından otomatik olarak Windows ile birlikte başlatılan bir Windows hizmeti ve cihaz sürücüsü olarak çalışır. Bu, izlemenin sistem yeniden başlatıldıktan sonra da devam etmesini ve sistemin başlangıcından kapanışa kadar etkin olmasını sağlar. Bu, kullanıcıya sistem ve kullanıcı davranışları hakkında daha sonra saldırı tespiti, anormallik tespiti ve ayrıntılı neden analizi için kullanılabilecek içgörüler sunabilir.

Sysmon ne için kullanılır?

Sysmon, işlem oluşturma ve sonlandırma, ağ bağlantıları, dosya ve kayıt defteri değişiklikleri, DNS sorguları vb. dahil olmak üzere birçok farklı sistem etkinliğinin izlenmesi ve kaydedilmesi amacıyla kullanılabilir. Bu, kötü amaçlı yazılımların bulaştığı durumları tespit etmek, incelemek ve saldırganların davranışlarını takip etmek için kullanılabilir. Sysmon günlükleri, mevcut sistemlerin kullanılma şekline ilişkin içgörüler elde edilmesinde önemli bir destek sunar.

Sysmon kullanmanın faydaları nelerdir?

Sysmon günlükleri, geniş bir kapsama yayılmış birçok farklı sistem etkinliğine ilişkin ayrıntılı içgörüler sağlayarak ağınıza bakış alanınızı genişletir. Bu kapsamlı günlük kaydı, bir güvenlik ihlaline işaret edebilecek anormallikleri ve şüpheli davranışları tanımlamanıza yardımcı olabilir. Dahası, Sysmon günlükleri, ağınızdaki güvenlik olaylarına merkezi bir bakış sunmak amacıyla günlük yönetimi çözümleriyle etkili bir şekilde tümleştirilebilir ve bu da farklı kaynaklardan gelen olayların korelasyonunu belirlemenize, olası tehditleri tespit etmenize ve olay yanıtını kolaylaştırmanıza yardımcı olabilir.

Derecelendirmeler ve gözden geçirmeler

Dünya çapında tanınan ve sevilen bir araç
 
4.7/5

İnanılmaz etkili bir olay izleme yazılımı
ManageEngine EventLog Analyzer'ın en iyi yanı, arayüzünün oldukça sezgisel ve kolay anlaşılır olması.

Yönetici Bilgi teknolojileri ve hizmetleri
 
4.7/5

Tüm Windows makinelerinin merkezi hale getirilmesi için ideal. Belirli olayları seçtiğiniz farklı eylemlerin tetiklenmesini sağlayacak şekilde işaretlemeniz mümkün.

Joseph L BT müdürü
 
4.7/5

EventLog Analyzer, dosya bütünlüğünü izleyebilir, günlük verilerini analiz edebilir, ayrıcalıklı kullanıcıları takip edebilir ve veri günlüklerini inceleyebilir. Bu yazılım, en yeni şifreleme teknolojilerini kullanıyor ve dolayısıyla da güvenli.

Sophie S eAfrica Solutions, yönetici
 
4.8/5

EventLog Analyzer'ı kullanma deneyiminden çok memnun kaldım; bunun nedeni de bu aracın kurulumun hemen ardından, ekibimi sunuculara saldırı gerçekleştirmek üzere olan potansiyel tehditler konusunda uyarmış olması. Aynı zamanda iş uygulamalarımda manuel olarak yapmam gereken işleri azaltarak koruma süreçlerinde büyük miktarda zaman ve enerji tasarrufu sağladı.

Bilgi uzmanı İletişim sektörü
 
4.6/5

Günlük yönetimi için harika bir program grubu. Yazılımın bu kadar kolay yapılandırılabilmesine bayıldım. Çok kısa bir sürede tüm günlüklerimi buraya yönlendirerek sorunsuz akışı sağlayabildim. Bu şekilde verilere bakmak ve ağda olup bitene dair bir fikir sahibi olmak oldukça kolaylaşıyor.

Anonim
 
4.7/5

Tüm Windows makinelerinin merkezi hale getirilmesi için ideal. Belirli olayları seçtiğiniz farklı eylemlerin tetiklenmesini sağlayacak şekilde işaretlemeniz mümkün.

Joseph L BT müdürü
  • 1
  • 2
  • 3
  • 4

Sysmon günlüklerinizi izlemek için

EventLog Analyzer'ı seçin

Şimdi indir
Ana Sayfa »