Sysmon Kurulum Ve Yapılandırması

Sysmon Nedir ?

Sysmon, sistem etkinliğini izlemek ve olayları windows olay günlüğüne kaydetmek için Windows tarafından geliştirilen bir araçtır.

Aşağıdaki eventıd’leri izler:
Event ID 1: Process creation
Event ID 2: A process changed a file creation time
Event ID 3: Network connection
Event ID 4: Sysmon service state changed
Event ID 5: Process terminated
Event ID 6: Driver loaded
Event ID 7: Image loaded
Event ID 8: CreateRemoteThread
Event ID 9: RawAccessRead
Event ID 10: ProcessAccess
Event ID 11: FileCreate
Event ID 12: RegistryEvent (Object create and delete)
Event ID 13: RegistryEvent (Value Set)
Event ID 14: RegistryEvent (Key and Value Rename)
Event ID 15: FileCreateStreamHash
Event ID 16: ServiceConfigurationChange
Event ID 17: PipeEvent (Pipe Created)
Event ID 18: PipeEvent (Pipe Connected)
Event ID 19: WmiEvent (WmiEventFilter activity detected)
Event ID 20: WmiEvent (WmiEventConsumer activity detected)
Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)
Event ID 22: DNSEvent (DNS query)
Event ID 23: FileDelete (File Delete archived)
Event ID 24: ClipboardChange (New content in the clipboard)
Event ID 25: ProcessTampering (Process image change)
Event ID 26: FileDeleteDetected (File Delete logged)
Event ID 255: Error
Yani sysmon ile şu etkinliklerini loglayabilirsiniz:

  • Ağ bağlantıları
  • Driver hareketleri
  • DNS hareketleri
  • Dosya oluşturma zamanındaki değişikleri
  • komut satırı loglama

Kurulum

Kurulum için bu adres‘i kullanabilirsiniz.
Sysmon direk olarak default ayarlarda kurulabileceği gibi internet üzerinden edinebileceğiniz çeşitli konfigler ile birlikte de kurulabilir. Örneğin bu adreste gayet işe yarar bir konfig mevcut.

Sysmon Config

Sysmon’un bir şeyi loglamasını istiyorsanız konfig dosyasında bunu belirtmeniz gerekiyor. Şimdi örnek bir konfig ile bunun nasıl yapıldığını görelim:

<Sysmon schemaversion="4.2"> // schema versiyonu belirtilir.
<HashAlgorithms>md5</HashAlgorithms> // eventlerin hangi algoritma ile özet değeri alınacağı belirtilir.
<EventFiltering> // eventId'lere göre kurallar yazılır. 
	<ProcessCreate onmatch="include"> 
		<Image condition="contains">net.exe</Image> 
	</ProcessCreate>
	<ProcessCreate onmatch="exclude">
		<CommandLine condition="contains">user</CommandLine>
	</ProcessCreate>
</EventFiltering>
</Sysmon> 

Yukarıda ki kural bir process takibi yapıyor. Ve formatı xml. Yukarıdaki kurala göre net.exe çalıştırıldığında sysmon event üretecek.

Kurulum için aşağıdaki komut kullanılabilir:

Sysmon.exe -i sysmonconfig-export.xml

Komutu çalıştırdıktan sonra şöyle bir çıktı almanız gerekiyor:

System Monitor v15.0 - System activity monitor
By Mark Russinovich and Thomas Garnier
Copyright (C) 2014-2023 Microsoft Corporation
Using libxml2. libxml2 is Copyright (C) 1998-2012 Daniel Veillard. All Rights Reserved.
Sysinternals - www.sysinternals.com

Loading configuration file with schema version 4.50
Sysmon schema version: 4.90
Configuration file validated.
Sysmon installed.
SysmonDrv installed.
Starting SysmonDrv.
SysmonDrv started.
Starting Sysmon..
Sysmon started.

Kurulum başarılı olursa kontrol etmeniz gereken iki yer bulunuyor. Birincisi windows servislerinden Sysmon’un olduğunu ve çalıştığını teyit edin. Sonrasında ise logların gelip gelmediğini kontrol edebilmek için Windows event wiever üzerinden Application and Services Logs -> Microsoft -> Windows -> Sysmon -> Operational yoluna giderek kontrolü sağlayabilirisiniz.

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir