Sysmon Nedir ?
SysInternals ailesinden olan sysmon, ağınızdaki gelişmiş tehditleri tespit etmenize yardımcı olabilecek, ana bilgisayar düzeyinde önemli bir izleme aracıdır. Yaygın Anti-Virüs/Ana Bilgisayar tabanlı saldırı tespit sistemi (HIDS) çözümlerinin aksine, Sysmon sistem etkinliğini derinlemesine izler ve gelişmiş saldırıların yüksek güvenilir göstergelerini günlüğe kaydeder.
Sysmon aşağıdaki etkinlikleri izler:
- İşlem oluşturma (tam komut satırı ve karmalarla birlikte)
- İşlem sonlandırma
- Ağ bağlantıları
- Dosya oluşturma zaman damgaları değişiklikleri
- Sürücü/görüntü yükleme
- Uzak ileti dizileri oluşturun
- Ham disk erişimi
- İşlem belleği erişimi
SYSMON Kurulumu
İlk olarak aşağıdaki adrese giderek Symon’u indiriyoruz.
https://learn.microsoft.com/tr-tr/sysinternals/downloads/sysmon
https://github.com/SwiftOnSecurity/sysmon-config bu bağlantıda sysmon için best pratices config’i indirebilirsiniz ve çıkan xml dosyasını sysmon klasörünün içerisine alın.
Sonrasında indirmiş olduğumuz dosyayı zipten çıkarıyoruz ve sonrasında CMD istemcimizi yönetici olarak çalıştırıyoruz.
Sonrasında ilgili dosya yolunu kopyalıyoruz ve cd yazarak dosyanın içine giriyoruz. Ve aşağıdaki komutu çalıştırıyoruz.
sysmon.exe -accepteula -i sysmonconfig-export.xml
Komutu çalıştırdıktan sonra kurulum ve konfigürasyon işlemi tamamlanmış olmaktadır.
Kurulum tamamlandıktan sonra Sysmon loglarına Windows Olay Günlüğü üzerinden Application and Services Logs -> Microsoft -> Windows -> Sysmon -> Operational adımlarından ulaşılabilirsiniz.
