Log, kısaca: Gerçekleşen her hangi bir olayın kaydıdır. Bulunduğumuz dönemde siber güvenlik çok önemli. Bu yüzden sistem; kendini loglamak (kayıt altına almak) zorunda. Her hangi bir olası durumda, log dosyaları kontrol edilir. Kısaca log, sanal dünyanın koruyucusu, dedektifidir. Log kaydı sistemlerimizde sürekli olarak
tutulmaktadır. Yani olası bir siber saldırı durumunda, loglar kontrol edilir. Bilişim Sistemlerinin en önemli silahıdır loglar...
Sysmon Nedir?
Öncelikle Sysmon, Microsoft tarafından geliştirilmiştir. Yüklendiği sistem üzerindeki aktiviteleri kayıt altına alır. Windows sistemlere kurulur ve log analizi yapılabilir. Ama öncelikle şunu belirtmeliyiz: Sysmon kendi kendine analiz yapmaz, her hangi bir koruma sağlamaz. Olası durumda; saldırıyı sizin öngörmeniz, müdahale etmeniz gereklidir
Sysmon'un Özellikleri (Neden Sysmon?):
- Komut satırı loglama (current ve parent process)
- İşlemlere ait dosya özet değeri alma (SHA1 (varsayılan), MD5, SHA256 veya IMPHASH)
- Birden fazla hash değerini aynı anda kaydedebilme
- İşlemlere ait (current ve parent process) GUID değerini kaydedebilme (korelasyon için)
- Driver, DLL yükleme olaylarını imza ve hash değerleri ile birlikte kaydedebilme
- DNS loglama
- Ağ bağlantılarını takip edebilme
- Dosya oluşturma zamanındaki değişiklikleri algılama
Sysmon Nasıl Kurulur?
- Sysmon - Windows Sysinternals adresinden sysmonu indirelim.
- Masaüstüne Sysmon adında bir dosya açalım, rar'ın içindekileri Sysmon dosyasına kopyalayalım. Ardından üst bölümden dosya konumunu kopyalayalım.
- Komut Satırı açalım ve ardından kopyaladığımız dosya yerine cd komutu ile gidelim. Ardından sysmon.exe -h komutunu uygulayalım. Aradığımız kodu bulalım: Sysmon.exe -i configdosyasi.xml (eğer config belirtmek istemiyorsanız direk sysmon.exe -i yazabilirsiniz default config ile kurar. )
- Komut Satırına sysmon.exe -i kodunu yazalım ve çalıştıralım. Ardından önümüze çıkan yerde "Install" tuşuna basalım. Artık sysmon kuruldu. Sysmon kendini varsayılan konfigürasyon ile kurar. Bunu görmek için de: sysmon –c komutu kullanılır.
Sysmon Konfigürasyon İşlemleri
Öncelikle sysmon konfigürasyon için XML dilini kullanır. Ayrıca konfigürasyonu kendinize göre değiştirebilir, hazır konfigürasyonlar kullanabilirsiniz. Hash algoritmasını md5 olarak seçmek, ağ bağlantılarını devre dışı bırakmak, DNS lookup ayarları, CRL checking... gibi özellikleri kendiniz de ayarlayabilirsiniz. Örnek config'i:
sysmon-config/sysmonconfig-export.xml at master · SwiftOnSecurity/sysmon-config
Sysmon configuration file template with default high-quality event tracing - SwiftOnSecurity/sysmon-config
github.com
Olay Görüntüleyici (Log Bölümü)
Sysmon'u kurduk. Öncelikle bir olay görüntüleyici (event viewer)'a göz atalım. Bunun için Windows Arama yerine "Olay Görüntüleyici" (bilgisayarınız ingilizce dilinde ise event viewer) yazıyoruz ve çalıştırıyoruz.
Windows Günlükleri Bölümü: Bu kısım, genel windows loglarının tutulduğu bölümüdür. Bu kısımdan; uygulama, güvenlik, kurulum, sistem ve iletilen olaylar loglarını inceleyebilirsiniz.
Uygulama ve Hizmet Günlükleri Bölümü: Adı üstüne uygulama ve hizmetlerin loglarının tutulduğu bölümüdür. Bu bölümden Sysmon loglarına da ulaşacağız.
Olay Görüntüleyici İçerisinden Sysmon
Öncelikle "Uygulama ve Hizmetler Günlüklerine" girelim. Ardından Microsoft – Windows – Sysmon – Operational yolunu inceleyelim. Eğer Sysmon güzel bir şekilde kurulduysa; buradaki logları görebiliyor olmanız lazım. 2 kere tıklayarak log hakkında daha fazla bilgi alabilirsiniz. Ayrıca ayrıntılar kısmından da Kolay Görünüm veya XML görünümünü kullanabilirsiniz. Bunlar da işinize yarayacaktır. Burada işinize yarayacak bir çok kaynak var. Örnek Zoom logu:
Ayrıntılar bölümünden; Kolay Görünüm veya XML Görünümünü seçebilirsiniz. XML Görünümü, size schema gibi gözükecektir. Eğer wordpress'te schema pro olayını bilen varsa bunu da rahat anlar diye düşünüyorum.
Kategori bölümünden bahsedecek olursak, bu bölümde bir sürü kategori vardır. Network connections, Process create, ... gibi bir sürü kategori vardır. Bunlar da sizin incelemenize kolaylık sağlarken, hangi alanda sorun varsa o alana daha çabuk yönelmenizi sağlar. Ayrıca konfigürasyon yapmamız lazım. Ben şimdilik swiftonsecurity'nin konfigürasyonunu kullanacağım. (Yukarıda linkini vermiştim) XML dosyasına raw yaparak Sysmon dosyasına kaydediyorum. Ardından sysmon.exe - c sysmonconfig-export.xml komutu ile config'i yüklüyorum.
Bir de şimdi event viewer'a bakalım. Gördüğünüz gibi, farklı kategoride loglar da düşüyor artık. O kadar güzel bir araç ki, daha demin yazdığımız kod bile Process Create olarak sysmon'a düşüyor:
CommandLine: sysmon.exe -c sysmonconfig-export.xml
IntegrityLevel: High
Bu şekilde logları inceleyebiliyorum. Ayrıca network portları olsun, bir çok şeyi de detaylı bir şekilde gösteriyor.
Olay Görüntüleyici EVENT ID Farkındalığı
Şimdi EVENT ID (Olay Kimliği) kısmını bir inceleyelim. Öncelikle gördüğünüz gibi, tüm logların bir event id si bulunmakta. Önemli event idleri bilirsek, loglama kısmında daha önde olabiliriz. Örneğin 4625 event id si. Bu event id, yanlış oturum açma eylemiyle ilgili bir iddir. Kişinin yanlış oturum açmasıyla düşer. Bunu da Windows Günlükleri - Güvenlik kısmından inceleyebiliriz.
Güvenlik kısmına giriyorum ve sağ tarafta bulunan geçerli günlüğe filtre uygula seçeneğine basıyorum. yazan kısma incelemek istediğimiz portu yazıyoruz. Ben 4625 yazıyorum. Tamam dediğimde hiçbir şey çıkmıyor, demek ki son zamanlarda başarısız bir giriş eyleminde bulunulmamış. Tekrar tüm logları görmek için sağ kısımdan filtreyi kaldıra basabiliriz.
Örnek bir saldırı senaryosu düşünelim: 4625 idsinde bir güvenlik logu tutulmuş ve oturum açma türü: 10 ve üstü bir sayı. Bu durumda şüphelenmemiz lazım. Çünkü bir kullanıcının bu kadar çok RDP bağlantısı göndermesi normal değil. RDP bağlantılarınız açık değilse ve bu kadar çok istek geliyorsa hacklenmiş olabilir, veya hacklenmek üzere olabilirsiniz. Örnek senaryoda bunun RDP üzerinden gerçekleşen bir şifre saldırısı olduğu söylenilebilir.
Bu saldırıda, Network Information kısmında ağ bilgileri görünecektir. (IP Adresi) Oturum açmak isteyip de başarısız olan kişinin IP adresini o kısımdan görebiliriz. Logon tipi 5 ise windows servisinin açtığı oturumlar olarak geçiyor. Her hangi bir sıkıntı yok. (kullanıcı etkileşimi sıkıntısından) Bu kısmı sizde inceleyebilirsiniz, RDP üzerinden saldırı yiyip yemediğinizi görebilirsiniz
Olay Görüntüleyici EVENT ID Farkındalığı 2
Evet, şimdi sizlere 4720 (Bir kullanıcı hesabı oluşturuldu) idsinden bahsedeceğim. Bu id adı üstüne kullanıcı hesabı oluşturulduğunda loglara düşüyor. Örnek olarak bir kullanıcı hesabı oluşturuyorum. Evet, turkhackteam adında bir kullanıcı oluşturdum ve 4720 idme direk bir log düştü:
Teşekkürler!
Konu bu kadardı, buraya kadar incelediğiniz için teşekkürler. Umarım sysmon size bir farkındalık olmuştur, logları dikkatli incelemeyi unutmayın. Ayrıca kendiniz de event idlere bakarak bir çalışma gerçekleştirebilirsiniz.
www.turkhackteam.org - Blue Team
Kaynakça:
Kod:
https://www.youtube.com/watch?v=PY1v_mZnjks
https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
https://www.youtube.com/watch?v=gsnODLm-dCY
https://www.youtube.com/watch?v=8CvfM4AX4HM&t=2465s
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
https://sibermetin.com/sysmon-log-analizi-nedirnasil-kurulur
https://oguzcanpamuk.medium.com/sysmon-splunk-ile-tehdit-av%C4%B1-be562529d6c7
https://www.bgasecurity.com/makale/windows-sistemlerde-sysmon-ile-log-analizi/
https://www.prismacsi.com/sysmon-ile-log-toplama-ve-analizi/
Etiketler: sysmon nedir, sysmon türkçe kaynak, sysmon kullanımı, sysmon event idleri, sysmon event id türkçe, sysmon türkçe event id kullanımı, sysmon kaynakları türkçe, türkhackteam sysmon
Son düzenleme: