CyberFlow Logo CyberFlow BLOG
Soc L2 Advanced Correlation Writing

Windows Olay Günlükleri ve Sysmon Korelasyonu: Siber Güvenlikte Derinlemesine Analiz

✍️ Ahmet BİRKAN 📂 Soc L2 Advanced Correlation Writing

Windows olay günlükleri ve Sysmon ile siber güvenlik analizi hakkında kapsamlı bilgiler edinin. Zararlı aktiviteleri tespit etme yollarını keşfedin.

Windows Olay Günlükleri ve Sysmon Korelasyonu: Siber Güvenlikte Derinlemesine Analiz

Siber güvenlik alanında güçlü bir zemin oluşturmak için Windows olay günlüklerini ve Sysmon'un sunduğu imkanları kullanın. Başarılı girişler, izleme ve koruma yollarını öğrenin.

Giriş ve Konumlandırma

Siber güvenlik, günümüzde her geçen gün daha karmaşık hale gelen tehditlerle karşı karşıyadır. Bu tehditleri tespit etmek ve önlemek için bilgi güvenliği uzmanları, çeşitli yöntem ve araçlar kullanmaktadır. Bunlardan en önemlileri arasında Windows Olay Günlükleri (Event Logs) ve Sysmon (System Monitor) korrelasyonu yer almaktadır. Bu blog yazısında, bu iki önemli sistemin nasıl çalıştığını ve siber güvenlikte nasıl etkin bir şekilde kullanılabileceğini derinlemesine inceleyeceğiz.

Olay Günlükleri ve Sysmon’un Rolü

Windows Olay Günlükleri, işletim sisteminin ve üzerinde çalışan uygulamaların, çeşitli güvenlik ve sistem olaylarını kaydettiği bir mekanizmadır. Event ID’leri, bu olayların kategorize edilmesini ve tanımlanmasını sağlar. Her olayın kendine özgü bir sayısal kimliği vardır ve bu kimlikler aracılığıyla işletim sistemi, kullanıcı etkinliklerini ve sistem durumunu detaylı bir şekilde izleyebilir. Örneğin, Event ID 4624, başarılı bir kullanıcı girişini belirtirken, Event ID 1102, Windows güvenlik günlüklerinin temizlendiğini gösterir.

Sysmon ise, temel Windows Olay Günlükleri’ne ek olarak, daha derinlemesine bilgi sunan bir sistem servisi ve cihaz sürücüsüdür. Sysmon, sürecin yaratılmasından ağa bağlantılara kadar birçok kritik bilgiyi izler ve kaydeder. Bu sayede, güvenlik araştırmacıları ve analistleri, potansiyel tehditleri daha hızlı ve etkili bir şekilde belirleyebilir.

Neden Önemli?

Olay günlükleri ve Sysmon data korelasyonu, siber güvenlik alanında kritik bir rol oynamaktadır. Bir saldırının izini sürmek, yalnızca olayları kaydetmekle değil, aynı zamanda bu olayların birbirleriyle olan ilişkisini anlamakla mümkündür. Örneğin, bir kullanıcının bir ağ kaynağına yaptığı oturum açma işlemi (Logon Type 3) ile o oturumun hangi süreçler tarafından gerçekleştirildiğini analiz etmek, saldırganların davranışlarını anlamak için elzemdir.

Zararlı yazılımların tespitinde önemli bir rol oynayan Sysmon, özellikle “Living off the Land” (LOLBins) kavramı ile etkileşime geçer. Saldırganlar, yasal ve mevcut sistem araçlarını kullanarak izlerini gizlemeye çalışırken, Sysmon bu süreçleri görünür hale getirir. Örneğin, certutil.exe veya vssadmin.exe gibi araçların şüpheli kullanımları, sistem yöneticileri için alarm zilleri çalar.

Eğitim ve Hazırlık

Bu yazıda ele alacağımız konuların daha iyi anlaşılması için bazı temel bilgilerin tanımlanması önemlidir. Olay kimlikleri (Event ID’ler) ve Sysmon’un temel işlevleri hakkında ön bilgi sahibi olmak, yazının ilerleyen kısımlarında daha derin bir anlayış sağlanmasını kolaylaştıracaktır. Özellikle Sysmon’un kayıt ettiği olaylar ile Windows Olay Günlükleri arasındaki korelasyon, zararlı aktiviteleri tespit etmede kilit hale gelmektedir.

Tekniğe Geçiş

Yazının ilerleyen bölümlerinde, Windows Olay Günlükleri ve Sysmon ile ilişkili önemli olaylara ve bunların nasıl analiz edileceğine dair kapsamlı örnekler sunacağız. Örneğin, Sysmon'un sunduğu kritik Event ID’leri üzerinden bir süreç soyağacının (Process Lineage) nasıl oluşturulacağını öğreneceğiz. Ayrıca, PowerShell loglaması gibi önemli konuları ele alarak, saldırı senaryoları ve izleme stratejileri hakkında pratik bilgiler sunmayı hedefliyoruz.

Bu bağlamda, okuyucuların, Windows Olay Günlükleri ve Sysmon kullanarak siber güvenlik tehditlerini nasıl daha etkili bir şekilde tespit edebileceği konusunda derinlemesine bir anlayış geliştirmeleri amaçlanmaktadır. Başlamak için, temel sistem olaylarından ve Sysmon'un sunduğu analitik yeteneklerden başlayacağız.

Teknik Analiz ve Uygulama

Olay Kimliği (Event ID)

Windows işletim sistemlerinde, her bir güvenlik olayı, başarıyla gerçekleşen veya engellenen durumları temsil eden benzersiz bir sayısal kimlik ile tanımlanır. Bu "Olay Kimliği" (Event ID), olayın türünü belirlemek için kritik öneme sahiptir. Örneğin, Event ID 4624, başarılı bir kullanıcı oturum açmayı temsil ederken; ID 4625, bir oturum açma denemesinin başarısız olduğunu göstermektedir. Event ID'ler, olayların, zaman çizelgelerinin ve diğer analitik süreçlerin loglanması için oldukça önemli bir araçtır.

Sysmon (System Monitor)

Microsoft'un sunduğu Sysmon aracı, Windows sistemlerinde detaylı izleme yetenekleri sağlayarak, ağ trafiği, süreç oluşturma ve dosya sisteminde gerçekleşen değişiklikler gibi önemli olayları kaydeder. Sysmon, varsayılan Windows günlüklerini zenginleştirerek güvenlik analistlerine saldırıların arka planını kapsamlı bir şekilde inceleme fırsatı sunar. Yönetici yetkisi gerektirir ve yapılandırılmadığı takdirde, yalnızca temel bilgileri raporlar. Bu nedenle, Sysmon'un yapılandırmasını dikkatlice yapmak kritik öneme sahiptir.

Temel Sysmon Event ID'leri

Sysmon ile birlikte gelen bazı temel Event ID'leri şu şekildedir:

  • Event ID 1: Süreç oluşturulması. Komut satırı bilgisi ve hash bilgisi içerir.
  • Event ID 3: Ağ bağlantısının başlatılması. Kaynak ve hedef IP ile port bilgilerini içerir.
  • Event ID 11: Dosya oluşturulması veya değiştirilmesi. Zararlı yazılım tespitinde kritik bir öneme sahiptir.

Bu Event ID'lerinin izlenmesi, özellikle zararlı aktivitelerin tespiti açısından büyük önem taşır.

Süreç Soyağacı (Process Lineage)

Zararlı yazılımların analizi sürecinde, süreç soyağacı analizi kritik bir yöntemdir. Bir sürecin ebeveyn ve çocuk ilişkisini inceleyerek zarar veren süreçlerin belirlenmesi mümkündür. Örneğin, saldırganların kendi zararlı yazılım araçları yerine yasal Windows uygulamalarını suistimal etmesi yaygın bir yöntemdir. Bu tür durumların tespiti için Sysmon'un sağladığı detaylı süreç bilgileri yararlı olacaktır.

Get-SysmonEvent -EventID 1 | Select-Object -Property TimeCreated, Image, CommandLine, ParentImage

Yukarıdaki PowerShell komutu, sürecin oluşturulma zamanını, görüntüsünü ve komut satırı bilgisini listeleyecektir. Böylece zararlı aktivitelerin kaynağı daha iyi anlaşılabilir.

Windows Oturum Açma (Logon) Türleri

Kullanıcı oturum açma türlerini anlamak, güvenlik analizi için çok önemlidir. Özellikle üç temel oturum açma türü sıkça kullanılır:

  • Logon Type 2: Etkileşimli giriş; kullanıcının fiziksel olarak cihaza giriş yapması.
  • Logon Type 3: Ağ üzerinden giriş; uzak bir kaynağa erişim.
  • Logon Type 10: Uzaktan masaüstü girişidir; RDP bağlantısı ile gerçekleştirilen bir oturum açma türüdür.

Bu oturum açma türleri, siber tehditlerin davranışlarını analiz etmek için kritik bilgiler sunar.

PowerShell Loglaması

PowerShell, siber saldırganların sıkça kullandığı bir araçtır. Zararlı PowerShell betiklerinin içeriğini tam olarak görmek için Script Block Logging özelliği aktif edilmelidir. Bu özellik, Event ID 4104 ile loglanır ve saldırganların sistemde gerçekleştirdiği işlemler hakkında ayrıntılı bilgi sağlar.

Set-ExecutionPolicy Unrestricted -Scope LocalMachine

Yukarıdaki komut, PowerShell script block logging'i aktifleştirmek için kullanılabilir. Bunu uyguladıktan sonra, sistemdeki tehlikeli PowerShell aktiviteleri kolayca izlenebilir.

Living off the Land (LOLBins)

Siber güvenlik alanında "Living off the Land" (LOLBins) kavramı, saldırganların yasal araçları suistimal ederek sistemdeki güvenlikten nasıl faydalandığını ifade eder. Örneğin, certutil.exe, normalde sertifikaları yönetmek için kullanılan bir araçtır ancak saldırganlar tarafından zararlı dosyaların indirilmesi için de kullanılabilir.

İz Silme (Log Clearing)

Bir saldırganın, Windows Security loglarını temizlemeye çalışması durumunda kritik olan Event ID 1102 kaydedilir. Bu durum, izlerin silinmesi veya gizlenmesi anlamına gelir ve siber olayların tespit edilmesini zorlaştırır. Bu tür aktiviteleri tespit etmek, güvenlik ekipleri için büyük bir zorluk teşkil eder.

Yatay Hareket (Lateral Movement)

Bir saldırganın bir makineden diğerine geçiş yapması, yatay hareket olarak adlandırılır. Genellikle, ardışık olarak birden fazla makineden başarılı oturum açma girişimleri, bu tür bir aktiviteyi gösterir. Event ID'lerin analizi, bu hareketlerin daha iyi anlaşılmasını sağlayabilir.

Gizleme (Obfuscation) Tespiti

Saldırganlar, komut satırında karmaşık ve anlamsız karakter dizileri kullanarak gerçek niyetlerini gizlemeye çalışabilir. Bu tür gizli yolların farkına varmak, saldırganların izlerini sürmekte kritik bir rol oynar.

Sonuç olarak, Windows olay günlükleri ve Sysmon analizi, siber güvenlikte derinlemesine bir anlayış sağlayarak saldırıların tespitini ve önlenmesini mümkün kılar. Bu araçların etkin kullanımı, günümüzün karmaşık tehdit ortamında hayati öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlikte, sistemlerin güvenliğini sağlamak amacıyla yapılan olay günlüğü analizleri, işletmelerin maruz kaldığı riskleri belirlemekte kritik bir rol oynar. Windows olay günlükleri ve Sysmon korelasyonu, sistemlerdeki olağan dışı davranışların ve potansiyel tehditlerin tespitinde önemli bir araçtır. Ancak, bu verilerin doğru bir şekilde yorumlanması, olası zafiyetlerin ve yanlış yapılandırmaların etkilerini anlamak için gereklidir.

Olay Günlüklerinin Önemi

Windows Olay Günlükleri, sistemdeki tüm güvenlik olaylarını belgeleyen kritik bir kaynaktır. Olay Kimliği (Event ID), her bir olayın benzersiz bir tanımlayıcısıdır ve olayların ne tür bir aktiviteyi ifade ettiğini anlamamıza yardımcı olur. Özellikle, Event ID 4624 (Başarılı Giriş) gibi olayların analizi, giriş türlerinin belirlenmesine (örneğin, etkileşimli giriş, ağ üzerinden giriş) olanak tanır.

Yanlış Yapılandırma ve Zafiyetler

Bir sistemin güvenliğini tehdit eden en yaygın etkenlerden biri yanlış yapılandırmalardır. Örneğin, Sysmon'un düzgün bir şekilde yapılandırılmaması, zararlı aktivitelerin gözden kaçmasına yol açabilir. Sysmon ile olay kimliklerinin (örneğin, Event ID 1 - Süreç oluşturulması) izlenmesi, sistemdeki zararlı süreçlerin tespit edilmesine olanak tanır. Ancak, eğer günlüğe alınan olaylar eksik ya da yanlı ise, saldırganların aktiviteleri tespit edilemeyebilir.

Özellikle, LOLBins (Living off the Land Binaries) kullanılarak gerçekleştirilen saldırılarda, sistem üzerinde hukuken var olan araçların suistimalleri söz konusu olmaktadır. Bu araçların tespiti, zararlı aktivitelerin belirlenmesi açısından kritik öneme sahiptir. Örneğin, certutil.exe gibi komutların zararlı amaçlarla kullanılmasını yakalamak, sistemin genel güvenliğini artırabilir.

Sızan Veri ve Ağ Tespiti

Siber saldırılar sırasında, sızan verilerin türü ve boyutu, bir organizasyonun maruz kaldığı risklerin değerlendirilmesinde büyük öneme sahiptir. Verilerin sızdırılması, şirketin itibarında ciddi hasarlar oluşturabilir. Bununla birlikte, sistemin topolojik yapısının analizi de kritik bir adımdır. Yatay hareket (lateral movement) tespiti için, bir makineden diğerine yapılan başarılı ağ girişleri, potansiyel bir saldırının izlerini üstlenmiştir.

Savunma Mekanizmaları ve Hardening Önerileri

Belirlenen zafiyetler ve potansiyel tehditler karşısında, güvenlik önlemleri almak kaçınılmazdır. Aşağıda bazı profesyonel savunma mekanizmaları ve hardening önerileri yer almaktadır:

  1. Sysmon Konfigürasyonu: Sysmon'un yapılandırılmasının detaylı ve etkili bir şekilde yapılması gerekiyor. Önerilen olay kimliklerinin (Event ID) yakalanması, zararlı aktivitelerin tespiti için kritik öneme sahiptir.

    <Sysmon schemaversion="4.21">
  <EventFiltering>
    <RuleGroup name="Group 1" groupRelation="or">
      <ProcessCreate
        <CommandLine condition="contains">powershell.exe</CommandLine>
        <Image condition="end with">.exe</Image>
      </ProcessCreate>
    </RuleGroup>
  </EventFiltering>
</Sysmon>

  2. Günlük Yönetimi: Olay günlüklerinin düzenli olarak incelenmesi, izleme ve savunma stratejilerinin geliştirilmesi açısından önemlidir. Olay günlüğü temizlendiğinde (Event ID 1102), bu durum hemen bildirilmeli ve gereken müdahale uygulanmalıdır.

  3. Eğitim ve Farkındalık: Çalışanların siber güvenlik tehlikeleri konusunda eğitilmesi, sosyal mühendislik saldırılarına karşı etkili bir savunma oluşturur.

Sonuç

Windows olay günlükleri ve Sysmon korelasyonu, organizasyonların siber güvenlik durumunu anlamalarına yardımcı olan önemli araçlardır. Elde edilen bulguların güvenlik anlamını doğru bir şekilde yorumlamak, yanlış yapılandırma veya zafiyetlerin etkisini değerlendirmek için kritik önem taşımaktadır. Bu yorumlamalar, organizasyonun güvenlik seviyesi ve alınacak önlemlerin belirlenmesine temel oluşturur. Siber güvenlikte proaktif bir yaklaşım benimsemek, olası riskleri azaltmak ve sistem güvenliğini artırmak için vazgeçilmezdir.