CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

Sysmon Entegrasyonu ile EDR'ınızı Güçlendirin

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Sysmon ile EDR sisteminizi derinlemesine besleyin. Süreçlerinizi ve ağ bağlantılarınızı izleyerek siber tehditlere karşı güçlü bir savunma oluşturun.

Sysmon Entegrasyonu ile EDR'ınızı Güçlendirin

Sysmon entegrasyonu, EDR sistemleri için kritik bir bileşendir. Bu blog yazısında, Sysmon'un süreç izleme, ağ bağlantı takibi ve dosya doğrulama gibi yeteneklerini keşfedeceğiz.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, hareketlerin izlenmesi ve analiz edilmesi, saldırıların tespit edilmesi ve önlenmesi açısından kritik bir öneme sahiptir. Bu bağlamda, Endpoint Detection and Response (EDR) çözümleri, tehditleri proaktif olarak tespit etme ve yanıt verme yetenekleri ile öne çıkar. Ancak, EDR sistemlerinin etkinliği, sağladıkları veri kalitesi ile doğrudan ilişkilidir. İşte bu noktada, Microsoft'un Sysinternals aracının önemli bir rolü ortaya çıkar. Sysinternals'ın sunduğu Sysmon, olayları çok daha derinlemesine kaydederek EDR çözümlerinin görünürlüğünü ve analiz yeteneklerini artırır.

Sysmon Nedir?

Sysmon, temel olarak Windows işletim sistemlerinde süreç oluşturma, ağ bağlantıları ve dosya değişimleri gibi olayları izleyen bir araçtır. Ancak, standart Windows kayıtları ile karşılaştırıldığında, Sysmon çok daha detaylı bilgiler sunar. Örneğin, yalnızca bir sürecin başlatılmasını değil, aynı zamanda bu sürecin hangi komut satırı argümanlarıyla başlatıldığını da kaydederek analistlerin işini kolaylaştırır.

Örneğin:

<Event>
  <System>
    <Provider Name="Microsoft-Windows-Sysmon" Guid="{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}"/>
    <EventID>1</EventID>
    <TimeCreated SystemTime="2023-10-01T12:00:00Z"/>
    <EventRecordID>12345</EventRecordID>
    <Channel>Microsoft-Windows-Sysmon/Operational</Channel>
    <Computer>myComputer</Computer>
  </System>
  <EventData>
    <Data Name="Image">C:\Windows\System32\cmd.exe</Data>
    <Data Name="CommandLine">cmd.exe /c whoami</Data>
    <Data Name="User">myUser</Data>
    <Data Name="ParentImage">C:\Windows\Explorer.exe</Data>
    <Data Name="ParentCommandLine">explorer.exe</Data>
  </EventData>
</Event>

Bu örnek, Sysmon'un süreç oluşturma olayını nasıl kaydettiğini gösterir. Detaylar, analistlerin tehditleri daha hızlı bir şekilde tanımlamalarını ve yanıt vermelerini sağlar.

Neden Sysmon?

Sysmon'un entegrasyonu, EDR sistemlerinin işlevselliğini önemli ölçüde artırır. Standart log kayıtlarının çoğu, saldırganların sistemdeki hareketlerini göz ardı edebilecek kadar yüzeyseldir. Örneğin, sadece bir sürecin başlatılması yeterli bilgi sağlamaz; bunun arkasındaki ebeveyn komut satırı ve parametreler, olası bir saldırının nasıl gerçekleştirildiği hakkında kritik veriler sunabilir. Sysmon, bu tür bilgileri kaydederek ve analiz etmek için gerekli olan yapılandırma dosyaları ile yönlendirme yaparak, analistlerin elini güçlendirir.

Dünya genelinde birçok EDR çözümü, Sysmon loglarını arka planda işler. Bu sayede analistler, ham telemetri verisine daha hızlı ve etkin bir şekilde ulaşabilirler. Bunun sonucunda, siber saldırılara yanıt verme süreci kısalır ve etkinlik artar.

Önemli Olay Kimlikleri

Sysmon, bir dizi olay kimliği (Event ID) ile birlikte çalışır. Bu olay kimlikleri, izlenen aktiviteleri tanımlamak için kullanılır. Örneğin:

  • Event ID 1: Süreç Oluşturma - Yeni başlayan her programı ve komut satırı detaylarını kaydeder.
  • Event ID 3: Ağ Bağlantısı - Cihazın hangi IP ve Port üzerinden dışarıya bağlandığını gösterir.
  • Event ID 11: Dosya Oluşturma - Diske yeni yazılan her dosyanın kaydını tutan kritik olay.

Bu olaylar, siber güvenlik analistlerinin sistemdeki etkinlikleri takip etmesine ve olası tehditleri tespit etmesine yardımcı olur. EDR sistemleri, bu olayları analiz ederek, önceden belirlenmiş tehdit profillerine karşı sistemlerdeki anormallikleri tespit edebilir.

Sysmon ile Esnek Konfigürasyon

Sysmon'un güçlerinden biri, esnek konfigürasyon yapısıdır. Konfigürasyon dosyaları genellikle XML formatında hazırlanır ve tehditlere özel yapılandırmalar yapmak mümkündür. Bu modüler yapı, belirli aktiviteleri filtreleyerek gereksiz log kalabalığını önler ve analistlerin dikkatini en önemli verilere yönlendirir.

Sysmon, yeni bir süreç gerçekleştiğinde dosyanın MD5, SHA1 veya SHA256 gibi hash değerlerini otomatik olarak hesaplar. Bu sayede zararlı yazılımlar, imzalarından ötürü daha kolay bir şekilde fark edilebilir. Özellikle siber güvenlik ortamında bu tür hash değerlerinin önemi, zararlı yazılımların tanınması ve saldırıların önlenmesinde hayati rol oynar.

Sonuç olarak, Sysmon entegrasyonu, EDR çözümlerinin etkisini artırmak için güçlü bir araçtır. Derinlemesine izleme ve zengin veri toplama olanakları, analistlerin siber tehditleri hızlı bir şekilde tanımlamaları ve bunlara yanıt vermeleri için gereken altyapıyı sağlar. Sysmon, siber güvenlik ortamında verilen mücadelede önemli bir rol oynamaktadır ve bu nedenle dikkatle entegrasyon ve yapılandırma gerektirir.

Teknik Analiz ve Uygulama

Sistemin Gözü

Siber güvenlikteki temel veri kaynaklarından biri, olayların kaydedilmesi ve analiz edilmesidir. Microsoft'un Sysinternals aracının bir parçası olan Sysmon, sistem üzerinde gerçekleştirilen detaylı gözlemler sunarak, olayları standart Windows loglarından daha kapsamlı bir biçimde kaydetmektedir. Örneğin, apartman yöneticisi gibi, Sysmon da tüm süreçleri, ağ bağlantılarını ve dosya değişimlerini sürekli izler ve bu olayları kaydederek analistlerin bu veriler üzerinden daha derinlemesine analiz yapmasını sağlar.

Özellikle, Sysmon ile ana komut satırı (ParentCommandLine) gibi kritik bilgiler, analistlerin zararlı aktiviteleri belirlemesine yardımcı olur. Örnek bir Sysmon olayı şu şekilde kaydedilebilir:

<ProcessCreate>
    <EventID>1</EventID>
    <FileName>cmd.exe</FileName>
    <CommandLine>/c dir</CommandLine>
    <ParentCommandLine>powershell.exe</ParentCommandLine>
</ProcessCreate>

Bu kayıt, bir komut dosyasının nasıl çalıştırıldığını ve hangi süreç tarafından tetiklendiğini görmemizi sağlar.

Derinlemesine İzleme

Sysmon'un sunduğu derinlemesine izleme yetenekleri, EDR (Endpoint Detection and Response) çözümleri ile birlikte kullanıldığında oldukça güçlü bir ikili oluşturur. EDR çözümleri, Sysmon loglarını kendi analiz motorlarına entegre ederek tehdit tespit kabiliyetlerini önemli ölçüde artırabilir. Bu sayede, analistler yalnızca süreçlerin kayıtlarını görmekle kalmaz, aynı zamanda bu süreçlerin tarihçesi, oluşturulma süreleri ve ağ aktiviteleri gibi daha detaylı bilgilere de ulaşabilir.

Aşağıda Sysmon ile kayıtlı bazı önemli Event ID’lerini ve hangi tür aktiviteleri izlediklerini bulabilirsiniz:

  • Event ID 1: Süreç Oluşturma (Process Create); yeni başlayan her programı ve detaylarını kaydeder.
  • Event ID 3: Ağ Bağlantısı (Network Connect); cihazın hangi IP ve port üzerinden bağlantı kurduğunu gösterir.
  • Event ID 7: Görüntü Yükleme (Image Loaded); hangi DLL dosyalarının belleğe yüklendiğini izler.
  • Event ID 11: Dosya Oluşturma (FileCreate); diske yazılan yeni dosyaların kaydını tutar.

Bu olay kimlikleri, EDR sisteminizin görünürlüğünü büyük ölçüde artıracak ve saldırganların yaptığı hareketleri daha iyi anlamanızı sağlayacaktır.

Numaraların Dili

Sysmon, bir sürecin yalnızca çalışıp çalışmadığını değil, ayrıca hangi üst süreç (parent process) tarafından ve hangi parametrelerle başlatıldığını da gösterir. Bu, kötü niyetli yazılımların nasıl ve nereden geldiği konusunda daha fazla bilgi edinmemize yardımcı olur. Örnek bir Sysmon konfigürasyon dosyası, etkinlikleri ve filtrelemeyi ayarlamak için hiyerarşik bir XML formatında hazırlanır.

Aşağıda, Sysmon yapılandırma dosyanızda yer alabilecek örnek bir XML yapılandırması bulunmaktadır:

<Sysmon schemaVersion="4.20">
    <EventFiltering>
        <ProcessCreate
            <CommandLine condition="contains">cmd.exe</CommandLine>
        </ProcessCreate>
        <NetworkConnect
            <DestinationPort condition="equals">443</DestinationPort>
        </NetworkConnect>
        <ImageLoad
            <ImageLoaded condition="contains">Microsoft</ImageLoaded>
        </ImageLoad>
    </EventFiltering>
</Sysmon>

Bu yapılandırma ile hangi olayların kaydedileceğini ve hangi durumların dışında bırakılacağını tanımlamak mümkündür.

Esnek Konfigürasyon

Sysmon'un esnek konfigürasyon yetenekleri, arka plan süreçlerini yönetmek için kritik öneme sahiptir. Filtreleme mekanizmaları sayesinde, gereksiz log kalabalığını önleyerek yalnızca önemli olayları kaydedebilirsiniz. Böylece, analistler daha anlamlı verilere odaklanarak sistemdeki potansiyel tehditleri daha hızlı tespit edebilir.

Belirli durumları görmezden gelmek, log yönetimini kolaylaştırmak ve olaylar arasındaki geçişkenliği artırmak adına iyi bir stratejidir.

Hibrit Güvenlik

Sysmon ile EDR arasındaki entegrasyon, hibrit güvenlik yaklaşımlarında da büyük rol oynamaktadır. EDR sistemleri, Sysmon loglarını kullanarak çok katmanlı güvenlik kontrolü sağlar. Örneğin, bir EDR çözümü Sysmon loglarını analiz ederken, tehdit tespitinde kullanacağı parametreleri belirler ve buna göre sistemdeki potansiyel tehditleri daha iyi tespit eder.

Dosya Doğrulama

Sonuç olarak, Sysmon'un sağladığı dijital parmak izleri, yani dosyaların MD5, SHA1 veya SHA256 gibi özet değerleri, zararlı dosyaların tespiti konusunda son derece etkilidir. Bu değerler sayesinde, analistler yalnızca dosyaların varlığı değil, aynı zamanda dosyaların niteliği ve güvenilirliğini de değerlendirebilir.

Sysmon ve EDR entegrasyonu ile sistemdeki görünürlük ve yanıt süreleri büyük ölçüde iyileşir. Bu da, güvenlik ekiplerine zamanında müdahale etme kabiliyeti kazandırır ve siber tehditlerin önüne geçilmesine yardımcı olur.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, etkin bir risk değerlendirmesi yapmak, sistemlerin güvenliğini sağlamak için kritik öneme sahiptir. Microsoft'un Sysinternals aracı olan Sysmon'un kullanımı, EDR (Endpoint Detection and Response) sistemleri için sağladığı derin görünürlük ile bu süreci ciddi anlamda güçlendirmektedir. Sysmon, olayları standart loglardan çok daha detaylı bir şekilde kaydederek analistlerin keşif ve savunma yeteneklerini artırmaktadır. Bu bağlamda, Sysmon ile elde edilen verilerin güvenlik anlamı, yapılandırmanın hatalı olup olmadığı ve sonuçların yorumlanması büyük bir önem taşımaktadır.

Elde Edilen Bulguların Güvenlik Anlamı

Sysmon'un ürettiği olay kayıtları, sistemde meydana gelen her aktiviteyi detaylandırarak siber güvenlik analistlerine büyük avantajlar sunar. Örneğin, Event ID 1 (Süreç Oluşturma) ile kaydedilen her yeni süreç, ebeveyn süreç ve komut satırı detaylarıyla birlikte izlenebilir. Bu bilgiler, saldırganların işleyiş biçimlerini, ani değişiklikleri ve olağan dışı aktiviteleri yakalamak için kullanılabilir.

Kod parçası ile bir süreç üretme olayının çıktısı şöyle gözlemlenebilir:

<event>
    <EventID>1</EventID>
    <Image>example.exe</Image>
    <CommandLine>example.exe -param1 value1</CommandLine>
    <ParentCommandLine>parent.exe -paramA valueA</ParentCommandLine>
</event>

Bu tür detaylar, analistlerin saldırı vektörlerini anlamalarını ve durum tespiti yapmalarını kolaylaştırır. Ayrıca, olayların ortalama süreleri (time-to-detect ve time-to-respond) üzerinde çalışarak tehditlerin hızla önlenmesini sağlar.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar veya EDR sistemlerinin etkin bir şekilde çalışmaması, ciddi zafiyetlere yol açabilir. Örneğin, Sysmon konfigürasyonundaki eksiklikler, belirli olayların atlanmasına neden olabilir; bu durum ise potansiyel tehditlerin saptanmasını zorlaştırır. Kullanıcıların veya süreçlerin kaydedilmemesi, sistemin zayıflıklarının ortaya çıkmasına yol açabilir. Dolayısıyla, yapılandırma dosyalarının dikkatli bir şekilde oluşturulması ve güncellenmesi önerilir.

<Template>
    <EventFiltering>
        <Filtering>
            <System>
                <ProcessCreate/>
                <NetworkConnect/>
            </System>
        </Filtering>
    </EventFiltering>
</Template>

Özellikle, gerekiyor ise gereksiz verileri filtrelemek adına etkin bir yapılandırma yapılmalıdır. Yanlış filtreleme veya yanlış yapılandırma sadece olayların kaydedilmemesine değil, aynı zamanda yanlış yorumlamalara da yol açabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Sysmon sayesinde, EDR sistemleri terimsel olarak "avanse edilmiş görünürlük" sunar. Ağ bağlantıları (Event ID 3) vasıtasıyla, sızma girişimlerini veya zararlı yazılımların dışarıya veri sızdırmasını tespit etmek mümkün hale gelir. Cihazın hangi IP ve port üzerinden bağlandığı gibi bilgiler, olası güvenlik zafiyetlerini ortaya koyar.

Örneğin;

<event>
    <EventID>3</EventID>
    <SourceIp>192.168.1.10</SourceIp>
    <DestinationIp>203.0.113.0</DestinationIp>
    <DestinationPort>80</DestinationPort>
</event>

Bu tür veriler, siber saldırılara karşı savunma yollarını belirlemek için kritik öneme sahiptir. Servis tespiti, sistemlerin açıklarını belirlemede de önemli rol oynar, zira belirli bir servisin beklenmedik bir şekilde çalışması veya dışardan erişilmesi potansiyel bir tehdit işareti olarak görülebilir.

Profesyonel Önlemler ve Hardening Önerileri

Sysmon ve EDR entegrasyonu ile oluşan bilgilerin güvenli bir biçimde değerlendirilmesi, sistem hardening stratejileriyle desteklenmelidir. Temel profesyonel önlemler arasında:

  1. Güncellemeler: Yazılımlar ve sistem güncellemeleri, bilinen zafiyetleri kapatmak için düzenli olarak kontrol edilmelidir.

  2. Erişim Kontrolleri: Kullanıcı erişim hakları sıkı bir şekilde gözden geçirilerek, yalnızca gerekli yetkilere sahip olan kullanıcıların sisteme erişimi sağlanmalıdır.

  3. Log Analizi: Sysmon kaynaklı loglar belirli aralıklarla analiz edilmeli ve potansiyel tehditler için sürekli izlenmelidir.

  4. Yapılandırma Yönetimi: Sysmon ve EDR yapılandırmaları, etkili bir şekilde kontrol edilerek güncellemelerle birlikte mantıksal bir tutarlılık içinde olmalıdır.

Sonuç Özeti

Sysmon'un EDR sistemlerine entegrasyonu, sistem güvenliğinin güçlendirilmesi için kritik bir adım olarak öne çıkmaktadır. Elde edilen verilerin doğru analiz edilmesi, yanlış yapılandırmaların etkilerinin azaltılması, sistem topolojisi ve hizmet tespiti açısından önemli bulgular sunmaktadır. Uygulanan profesyonel önlemler ve hardening stratejileri ile birlikte, bu yapıların güvenliği artırılabilir.