Sysmon Özelliklerine Genel Bakış
Sistem İzleyicisi (Sysmon), bir sisteme yüklendikten sonra sistem etkinliğini izlemek ve Windows olay günlüğüne kaydetmek için sistem yeniden başlatmalarında yerleşik olarak kalan bir Windows sistem hizmeti ve cihaz sürücüsüdür.
İşlem oluşturma işlemleri, ağ bağlantıları ve dosya oluşturma süresindeki değişiklikler hakkında ayrıntılı bilgi sağlar. Windows Olay Koleksiyonu veya SIEM aracılarını kullanarak oluşturduğu olayları toplayarak ve daha sonra bunları analiz ederek kötü amaçlı veya anormal etkinlikleri tanımlayabilir.
- SHA1 (varsayılan), MD5, SHA256 veya IMPHASH kullanarak işlem görüntüsü dosyalarının hash değerini kaydeder. Aynı anda birden çok karma kullanılabilir
- Aynı oturum açma oturumundaki olayların bağıntısına izin vermek için her olaya bir oturum GUID’i ekler.
- Sürücülerin veya DLL’lerin yüklenmesini imzalarıyla ve karmalarıyla günlüğe kaydeder.
- İsteğe bağlı olarak, her bağlantının kaynak işlemi, IP adresleri, bağlantı noktası numaraları, ana bilgisayar adları ve bağlantı noktası adları dahil olmak üzere ağ bağlantılarını günlüğe kaydeder.
- Bir dosyanın gerçekten ne zaman oluşturulduğunu anlamak için dosya oluşturma süresindeki değişiklikleri algılar.
- Belirli olayları dinamik olarak dahil etmek veya hariç tutmak için kural filtreleme özelliği sunar.
Sysmon Events
Event ID 1: Process creation> İşlem oluşturma olayı, yeni oluşturulan bir işlem hakkında genişletilmiş bilgi sağlar. (process kimdir, necidir, ne iş yapar kim oluşturmuştur vs)
Event ID 2: A process changed a file creation time> Dosya oluşturma zamanı, bir işlem tarafından açıkça değiştirildiğinde dosya oluşturma zamanı olayı kaydedilir. Bu olay, bir dosyanın gerçek oluşturma zamanını izlemeye yardımcı olur. Saldırganlar arkakapı (backdoor) gibi zararlı unsurlarla bu zamanı değiştirmiş mi bunun takibi yapılabilir.
Event ID 3: Network connection> Ağ bağlantısı olayı, makinedeki TCP/UDP bağlantılarını günlüğe kaydeder. Varsayılan olarak devre dışıdır. Bu olay ile ilgili process ‘in bağlı olduğu ProcessId, ProcessGUID birlikte source/destination host adları, ip4/ip6 adresler ve port numaralarına ulaşılabilir.
Event ID 4: Sysmon service state changed> Hizmet durumu değişiklik olayı Sysmon hizmetinin durumunu bildirir (başlatıldı veya durduruldu).
Event ID 5: Process terminated> Bir process sona erdiğinde (terminaton) oluşan log. İlgili process ile ilgili UtcTime, ProcessGuid ve ProcessId bilgilerine bakılabilir.
Event ID 6: Driver loaded> Sürücü tarafından yüklenen olaylar, sisteme yüklenen bir sürücü hakkında bilgi sağlar. Yapılandırılan karmalar ve imza bilgileri sağlanır.
Event ID 7: Image loaded> Yüklenen görüntü, bir modül belirli bir işlemde yüklendiğinde günlüğe kaydeder. Bu olay varsayılan olarak devre dışıdır ve “–l” seçeneğiyle yapılandırılması gerekir.
Event ID 8: CreateRemoteThread> Bir process diğer bir process’in içinde bir “thread” oluşturduğu tespit edildiğinde meydana gelir. Burada kaynak ve hedef ile ilgili bilgiler edinilebilir. Bu bilgiler oluşturulan yeni thread ‘in StartAddress, StartModule and StartFunction komutlarından elde edilen çıktılarıdır.
Event ID 9: RawAccessRead> RawAccessRead bir işlemin açıklamayı kullanarak sürücüden okuma işlemleri yürüttüğü zamanları “\\.\ “algılar. Bu teknik genellikle kötü amaçlı yazılım tarafından okuma için kilitlenen dosyaların veri sızdırması ve dosya erişimi denetim araçlarının önlenmesi için kullanılır. Olay, kaynak işlemi ve hedef cihazı gösterir.
Event ID 10: ProcessAccess> Bir işlem başka bir işlem açtığında işlem tarafından erişilen olay, genellikle bilgi sorguları veya hedef işlemin adres alanını okuyup yazıp yazmanın takip ettiği bir işlemdir. Bu, Karma Geçiş saldırılarında kullanılmak üzere kimlik bilgilerini çalmak için Yerel Güvenlik Yetkilisi (Lsass.exe) gibi işlemlerin bellek içeriğini okuyan korsanlık araçlarının algılanmasına olanak tanır. Bu özelliğin etkinleştirilmesi, durumlarını sorgulamak için işlemleri tekrar tekrar açan tanılama yardımcı programları varsa önemli miktarda günlüğe kaydetme oluşturabilir, bu nedenle genellikle yalnızca beklenen erişimleri kaldıran filtrelerle yapılması gerekir.
Event ID 11: FileCreate> Bir dosya oluşturulduğunda veya üzerine yazıldığında oluşan kayıttır. Tehdit avcılığı açısından başlangıç klasörü gibi otomatik başlatma #autostart lokasyonları ve çoğunlukla ilk enfeksiyonda zararlı yazılımların yaygın olarak kullandığı geçici #temporary ve indirme #download dizinlerini izlemek için kullanılabilir.
Event ID 12: RegistryEvent (Object create and delete)> Kayıt defteri (registry) anahtar ve değerlerin (key/values) oluşturulması ve silinmesi durumlarında oluşur.
Event ID 13: RegistryEvent (Value Set)> Kayıt defteri (registry) değerlerinde (values) yapılan değişiklikleri kaydeder. Bu değerler DWORD veya QWORD tipinde olabilir.
Event ID 14: RegistryEvent (Key and Value Rename)> Kayıt defteri (registry) anahtar ve değerlerinin yeniden isimlendirilme (rename) durumlarında tetiklenir ve yeni isimler kaydedilir.
Event ID 15 : FileCreateStreamHash > Bu olay, adlandırılmış bir dosya akışı oluşturulduğunda günlüğe kaydeder ve akışın atandığı dosyanın içeriğinin karması (adsız akış) ve adlandırılmış akışın içeriğini günlüğe kaydeden olaylar oluşturur. Yürütülebilir dosyalarını veya yapılandırma ayarlarını tarayıcı indirmeleri aracılığıyla bırakan kötü amaçlı yazılım varyantları vardır ve bu olay, tarayıcının bir Zone.Identifier “web işareti” akışı eklemesine bağlı olarak bunu yakalamayı hedeflemektedir.
Event ID 16: Sysmon config state changed> Filtreleme kurallarının güncellenmesi gibi sysmon konfigürasyonlarında yapılan değişiklikler gösterilir.
Event ID 17: Pipe created> Bu olay, adlandırılmış bir kanal oluşturulduğunda oluşturulur. Kötü amaçlı yazılım genellikle işlemler arası iletişim için adlandırılmış kanallar kullanır.
Event ID 18: Pipe connected> Bu olay, bir istemci ile sunucu arasında adlandırılmış kanal bağlantısı yapıldığında günlüğe kaydedilir.
Event ID 19: WmiEventFilter activity detected> WMI (Windows Management Instrumentation) olay filtresi (Bu filtre iç (intrinsic) veya dış (extrinsic) olayı belirtebilir ve zararlı yazılımlar tarafından çokça kullanılan bir yöntemdir) kaydedildiğinde #wmi namespace, filter name, filter expression logları tutulur.
Event ID 20: WmiEventConsumer activity detected> WMI kullanıcılarının adı, log günlüğü ve hedefi kaydedilir.
Event ID 21: WmiEventConsumerToFilter activity detected> WMI kullanıcıları bir filtreye bağlandığında (#binding) kullanıcı adı ve filtre yolu kaydedilir.
Event ID 22: DNSEvent> Bir process DNS sorgusu çalıştırdığında başarılı olup olmaması ve önbelleğe alınıp alınmamasına bakılmaksızın oluşturulur.
Referanslar:
https://learn.microsoft.com/tr-tr/sysinternals/downloads/sysmon
