CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Windows Sysmon ile Gelişmiş İzleme ve Kurulum Rehberi

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Windows Sysmon kurulumu ve gelişmiş izleme yöntemleri hakkında detaylı bir rehber. Sysmon'un sağladığı avantajlar ve yönetim komutları.

Windows Sysmon ile Gelişmiş İzleme ve Kurulum Rehberi

Bu blog yazısında, Windows Sysmon'un kurulumu, gelişmiş izleme yöntemleri ve filtreleme teknikleri üzerinde durulmaktadır. Siber güvenlik alanında sağlam bir görünürlük için Sysmon'un gücünden yararlanın.

Giriş ve Konumlandırma

Windows Sysmon ile Gelişmiş İzleme ve Kurulum Rehberi

Windows Sysmon (System Monitor), Microsoft'un Sysinternals paketinin bir bileşeni olarak, sistem yöneticilerine ve siber güvenlik profesyonellerine kritik bir araç sunmaktadır. Geleneksel loglama yöntemlerinin ötesine geçerek, sistem aktivitelerini daha derinlemesine izleme imkânı tanır. Özellikle, standart güvenlik logları belirli bilgileri kaydedebilmekte, fakat genellikle kritik detayları kaçırarak güvenlik açığı yaratabilmektedir. Sysmon, bu boşlukları doldurarak analistlere zenginleştirilmiş veri sağlar; örneğin, bir işlemin hangi komut satırı parametreleriyle çalıştığını ya da hangi ağ adreslerine bağlanıldığını tek bir görselde sunar.

Siber güvenlik açısından Sysmon'un önemi büyüktür çünkü günümüzde siber tehditler artmakta ve bu tehditlerin tespit edilmesi giderek zorlaşmaktadır. Modüler bir yapıya sahip olan Sysmon, geniş özelleştirilebilirliği sayesinde farklı siber saldırı vektörlerini izlemek için kullanılabilir. Saldırıların karmaşıklığı arttıkça, net bir görünürlük sağlayan bir araç kullanmak, veri ihlallerinin önüne geçmek için kritik bir gereklilik haline gelmiştir. Pentest (sızma testi) ve saldırı öncesi hazırlık aşamalarında Sysmon'un kullanılabilirliği, sistemdeki zayıflıkları belirlemek ve bunlara uygun müdahaleleri geliştirmek için oldukça önemlidir.

Sysmon, bir sistemin başlangıç noktası olarak düşünülebilir. Kurulum aşaması oldukça basittir; fakat Sysmon’un etkin bir biçimde çalışabilmesi için uygun parametrelerle ve özel bir konfigürasyon dosyası ile başlatılmasına ihtiyaç vardır. Sysmon'un sunduğu loglama imkanları, kullanıcıların siber tehditlerin kaynağını hızlı bir şekilde belirlemesine, olayların nasıl gerçekleştiğini analiz etmesine ve şüpheli aktiviteleri daha etkili bir şekilde izleyip raporlamasına olanak tanır.

Sysmon ile sağlanan gelişmiş veri alanları arasında Process GUID, Command Line ve File Hashes gibi önemli bilgiler yer alır. Bu veriler sayesinde, sistem üzerindeki her bir aktivite tekil olarak takip edilebilir, potansiyel tehditler daha hesaplanabilir bir biçimde analiz edilebilir. Örneğin, Process GUID, işlemlerin PID'si değişse bile onları tekil olarak takip etmeyi sağlayan eşsiz kimlikler sunar. Bu tür veriler olmaksızın, güvenlik analistleri sistem aktivitelerini anlamakta güçlük yaşayabilir ve bu da potansiyel bir risk oluşturabilir.

Sysmon'un en önemli özelliklerinden biri, logların hangi kanallarda saklandığıdır. Standard 'Security' logları yerine, Sysmon kendi özel log kanallarına yazmakta ve bu kanallar üzerinden olayları incelemeyi kolaylaştırmaktadır. Bu, analistlerin ihtiyaç duyduğu veriye ulaşmasını hızlandırır, aynı zamanda olay müdahale süreçlerinde zaman kazandırır. Örneğin, logları bulmak için şu yol izlenmelidir: Applications and Services Logs -> Microsoft -> Windows -> Sysmon.

Sonuç olarak, Sysmon bir sistemin iç yüzünü açığa çıkararak, analistlere derinlemesine görünürlük sunar. Bu görünürlük, yalnızca olayların neden ve nasıl gerçekleştiğini anlamakla kalmaz; aynı zamanda sistemin güvenliğini artırmak için gerekli olan verilerin toplanmasına da yardımcı olur. Bu yazı dizisinin ilerleyen bölümlerinde, Sysmon'un kurulumu ve yapılandırması ile ilgili detaylara, yönetim komutlarına ve en iyi kullanım uygulamalarına yer verilecektir. Okuyucular, bu bilgileri kullanarak siber güvenlik stratejilerini daha etkili hale getirebilir ve saldırıların önüne geçme konusunda güçlü bir zemin oluşturabilirler.

Teknik Analiz ve Uygulama

Sysmon Nedir? Neden Kullanılır?

Sysmon (System Monitor), Microsoft'un Sysinternals araç setinin bir parçası olarak sunulan gelişmiş bir sistem izleme aracıdır. Standart loglama sistemlerinin yetersiz kaldığı noktaları doldurarak, siber güvenlik profesyonellerine detaylı ve zenginleştirilmiş veri sağlamaktadır. Sysmon, sistem etkinliklerini işletim sistemi yeniden başlatılsa bile izlemesine olanak tanıyan bir "Aygıt Sürücüsü" ve "Servis" olarak çalışır.

Windows Security logları genellikle sadece temel bilgileri verir; buna örnek olarak "bir işlem başladı" gibi basit ifadeler verilebilir. Ancak hangi komut satırı parametreleriyle çalıştığı veya hangi ağ adreslerine bağlandığı gibi önemli detaylar çoğu zaman eksik kalır. Sysmon, bu boşlukları doldurarak analiste tam görünürlük sağlar.

Görünürlük Boşluğunu Kapatmak

Sysmon'un sağladığı bilgiler arasında işlemlerin çalıştırıldığı komut satırı parametreleri, dosya hash’leri ve ağ iletişim detayları gibi veriler de bulunmaktadır. Örneğin, bir işlem başlatıldığında, Sysmon bu işlem için kullanılan tam komut satırını loglayarak işlemlerin hangi koşullar altında çalıştığını netleştirir. Aşağıdaki komut ile Sysmon servisini yükleyebilirsiniz:

sysmon.exe -i

Bu komut, Sysmon'un servisini ve sürücüsünü sisteme yükler. Bir başka önemli kullanım ise, mevcut Sysmon yapılandırmasını yeni bir XML dosyasıyla güncellemektir:

sysmon.exe -c config.xml

Bu komut, konfigürasyon dosyası aracılığıyla Sysmon'un loglama tercihlerinizi yönetmenizi sağlar.

Kurulum ve Yönetim Komutları

Sysmon kurulumu oldukça basit olmakla birlikte, etkili bir izleme sağlar hale gelmesi için doğru parametrelerle başlatılması önemlidir. Genellikle Sysmon'un yönetimi için kullandığımız temel komutlar, yükleme ve kaldırma işlemleriyle başlar:

sysmon.exe -u

Yukarıdaki komut, Sysmon'u ve tüm bileşenlerini sistemden kaldırır. Bu, sistem yöneticilerine hızlı bir geri dönüş imkanı sunar.

Sysmon'un faydalarını en üst düzeye çıkarmak için ayrıca XML bazlı konfigürasyon dosyaları kullanarak belirli loglama kriterlerini belirleyebilirsiniz. Sysmon'un çalışma kurallarının belirlendiği yapılandırma dosyaları, belirli log türlerinin göz ardı edilmesine veya özel gözlemlere olanak tanır. Örneğin, bazı gürültü oluşturan işlemler için "exclude" filtreleri kullanarak gereksiz log kayıtlarını azaltabilirsiniz.

Konfigürasyonun Gücü: XML Dosyaları

Sysmon'un neyi loglayıp neyi loglamayacağını belirlemek için kullanılan yapılandırılmış dosya formatı XML'dir. Bu XML dosyasında kullanıcılar "Şu işlemleri izle" veya "Şu ağ trafiğini yoksay" gibi kurallar tanımlayabilir. İşte basit bir XML yapılandırma örneği:

<Sysmon schemaversion="4.40">
    <EventFiltering>
        <ProcessCreate
            <Image condition="contains">browser.exe</Image>
        </ProcessCreate>
    </EventFiltering>
</Sysmon>

Bu örnekte, browser.exe ile başlayıp devam eden tüm işlemler hariç tutulur. Bu tür filtrelemeler sayesinde, veritabanınızda yalnızca kritik öneme sahip ve analiz için gerekli bilgileri tutarak sisteminizin genel performansını artırabilirsiniz.

Filtreleme ve Gürültü Yönetimi

Her şeyi loglamak, SIEM (Security Information and Event Management) sisteminizi kilitleyebilir. Bu nedenle Sysmon XML konfigürasyonunda "exclude" filtreleri kullanmak, güvenilir Windows işlemlerinin log üretmesini engelleyerek önemli verileri öne çıkarmanıza yardımcı olur. Bu işleme "Log Tuning" veya "Noise Reduction" denir. Örneğin, tekrar eden log kayıtlarını filtrelemek, sistemin gereksiz yüklenmesini önler.

Sysmon Logları Nereye Gider?

Sysmon yüklendiğinde, loglarını standart "System" veya "Security" kanallarına yazmaz; bunun yerine kendi özel kanalına (Operational) yazar. Event Viewer’da logları bulmak için şu yolu izlemelisiniz:

Applications and Services Logs -> Microsoft -> Windows -> Sysmon -> Operational

Bu kanal, Sysmon loglarının toplandığı yerdir ve burada yapılan analizler, olay müdahale süreçlerinde önemli rol oynar.

Özet: Analist İçin Neler Değişir?

Sysmon, siber olay müdahalesinde kritik öneme sahip zenginleştirilmiş veriler sunar. Düzgün bir kurulum ve yapılandırma ile birlikte, sistem analistleri açısından önemli bir kaynak haline gelir. Detaylı loglama seçenekleri ve gürültü yönetimi imkanıyla, Sysmon siber güvenlik uygulamalarına büyük katkı sağlar. Bu nedenle, her siber güvenlik uzmanının Sysmon kullanarak sistemlerini güçlendirmesi önerilmektedir.

Risk, Yorumlama ve Savunma

Windows Sysmon, siber saldırılar, yanlış yapılandırmalar ve iç tehditlere karşı çok yönlü bir izleme aracı olarak görev yapar. Sistemin yaşadığı her türlü aktiviteyi kaydedebilme yeteneği sayesinde, analistlerin tehlikeleri hızlı ve etkili bir şekilde teşhis etmelerini sağlar. Ancak bu sürecin etkili olabilmesi için elde edilen verilerin dikkatlice yorumlanması gerekmektedir.

Elde Edilen Bulguların Yorumlanması

Sysmon, olay günlüklerini detaylı bir şekilde toplar ve bu günlüklerde olay zaman damgaları, işlem kimliği (PID), süreç ve kullanıcı bilgileri gibi zengin veriler bulunur. Örneğin, Sysmon girişi, bir işlemin çalıştırılması durumunda aynı zamanda o işlemin hangi komut satırı argümanları ile çalıştırıldığını da gösterir. Bu bilgi, kötü niyetli aktivitelerin tespit edilmesi açısından kritik öneme sahiptir.

Event ID: 1
Process: powershell.exe
Command Line: powershell -enc ...

Bu örnek, komut satırı ile çalıştırılan malzeme hakkında bilgi sağlayarak potansiyel bir sızma veya araç kullanımı belirtisi olabileceğini gösterir. Ayrca, "Process GUID" gibi benzersiz tanımlayıcılar sayesinde, her bir olay kaydı birbirleriyle ilişkilendirilebilir. Eğer birden fazla kötü niyetli işlem tespit edilirse, bunların birbirleri ile bağlantılı olup olmadığını anlamak için bu türden bilgiler kritik bir rol oynar.

Yanlış Yapılandırma veya Zafiyetler

Sysmon’un hatalı veya yetersiz yapılandırılması, siber güvenlik dalında büyük riskler oluşturabilir. Yanlış filtreleme ayarları, güvenilir uygulamalar üzerinde fazla gürültü üretebilir ve analistlerin önemli olayları gözden kaçırmasına sebep olabilir. Örneğin, eğer Sysmon günlüklerinde tüm veriler kaydediliyorsa, bu durum hem diskin hızla dolmasına hem de SIEM sisteminin işlevselliğinin tehlikeye girmesine yol açar.

Teknik olarak, bu tür bir durumu önlemek için "Exclude" filtreleri kullanılarak gerekli olamayan olayların kaydı durdurulmalıdır. Aksi halde, gereksiz loglar SIEM sistemlerini paralize edebilir veya önemli bilgilerin arasına karışarak bilgiye ulaşımı zorlaştırabilir.

Sızan Veriler ve Topoloji Tespiti

Sistemde gerçekleştirilen her bir kötü niyetli işlem düzenli olarak Sysmon loglarına kaydedilir. Bu nedenle, sızan verilerin, kullanılan hizmetlerin ve ağ topolojisinin tespit edilmesi mümkündür. Örneğin, bir ağ taraması veya yetkisiz bir bilgi erişimi bilgisi, Sysmon kayıtları üzerinden kolay bir şekilde erişilebilir.

Event ID: 3
Source IP: 192.168.1.100
Destination IP: 10.0.0.5

Yukarıdaki örnek, şüpheli bir ağ trafiğini gösterir ve analiz etmek için gereken bilgilere ulaşmayı kolaylaştırır. Böylece, sızılma ya da veri hırsızlığı gibi durumlar için hızlı bir müdahale söz konusu olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Sysmon verilerinin etkin bir şekilde kullanılabilmesi için bazı önlemler alınması önerilmektedir. İlk olarak, günlük kayıtlarının düzenli olarak analiz edilmesi gerekmektedir. Bunun yanı sıra, her yeni yazılım veya güncelleme sonrası Sysmon konfigürasyonunun gözden geçirilmesi de faydalıdır.

Hardening süreçlerinin bir parçası olarak aşağıdaki önlemler alınabilir:

  1. Günlük Filtreleme: Gereksiz verileri dışarda bırakacak şekilde Sysmon konfigürasyonunuzu düzenleyin.
  2. Olay Yanıtı Planı Geliştirin: Şüpheli aktivitelerin tespiti durumunda uygulanacak adımları belirleyin.
  3. Düzenli Güncellemeler: Sysmon’un en güncel sürümünü kullanarak yeni özelliklerden faydalanın.
  4. Eğitim ve Farkındalık: Ekip üyelerini Sysmon’un kullanımı ve güvenlik tehditleri hakkında bilgilendirin.

Kısa Sonuç Özeti

Windows Sysmon, güçlü bir izleme aracı olarak, sistem aktivitelerini detaylı bir biçimde kaydedecek şekilde tasarlanmıştır. Ancak, profesyonel bir analiz ve yapılandırma gerektirir. Yanlış yapılandırmalar, ciddi güvenlik açıklarına yol açabilir ve ele geçirme olaylarının tespitini zorlaştırabilir. Kaliteli bir siber güvenlik için Sysmon loglarının düzenli olarak incelenmesi ve profesyonel önlemlerin alınması gerekmektedir.