Log Nedir? Sysmon Nedir? Detaylı Anlatım & Örnek Senaryo!

Hê-ll

Blue Team Asistan
16 Eyl 2018
2,728
126
i was lost
rvvy5ge.png
Log Nedir?

Log, kısaca: Gerçekleşen her hangi bir olayın kaydıdır. Bulunduğumuz dönemde siber güvenlik çok önemli. Bu yüzden sistem; kendini loglamak (kayıt altına almak) zorunda. Her hangi bir olası durumda, log dosyaları kontrol edilir. Kısaca log, sanal dünyanın koruyucusu, dedektifidir. Log kaydı sistemlerimizde sürekli olarak
tutulmaktadır. Yani olası bir siber saldırı durumunda, loglar kontrol edilir. Bilişim Sistemlerinin en önemli silahıdır loglar...

f8l1281.png


Sysmon Nedir?

Öncelikle Sysmon, Microsoft tarafından geliştirilmiştir. Yüklendiği sistem üzerindeki aktiviteleri kayıt altına alır. Windows sistemlere kurulur ve log analizi yapılabilir. Ama öncelikle şunu belirtmeliyiz: Sysmon kendi kendine analiz yapmaz, her hangi bir koruma sağlamaz. Olası durumda; saldırıyı sizin öngörmeniz, müdahale etmeniz gereklidir

f8l1281.png


Sysmon'un Özellikleri (Neden Sysmon?):
  • Komut satırı loglama (current ve parent process)
  • İşlemlere ait dosya özet değeri alma (SHA1 (varsayılan), MD5, SHA256 veya IMPHASH)
  • Birden fazla hash değerini aynı anda kaydedebilme
  • İşlemlere ait (current ve parent process) GUID değerini kaydedebilme (korelasyon için)
  • Driver, DLL yükleme olaylarını imza ve hash değerleri ile birlikte kaydedebilme
  • DNS loglama
  • Ağ bağlantılarını takip edebilme
  • Dosya oluşturma zamanındaki değişiklikleri algılama

f8l1281.png


Sysmon Nasıl Kurulur?
  1. Sysmon - Windows Sysinternals adresinden sysmonu indirelim.
  2. Masaüstüne Sysmon adında bir dosya açalım, rar'ın içindekileri Sysmon dosyasına kopyalayalım. Ardından üst bölümden dosya konumunu kopyalayalım.
  3. Komut Satırı açalım ve ardından kopyaladığımız dosya yerine cd komutu ile gidelim. Ardından sysmon.exe -h komutunu uygulayalım. Aradığımız kodu bulalım: Sysmon.exe -i configdosyasi.xml (eğer config belirtmek istemiyorsanız direk sysmon.exe -i yazabilirsiniz default config ile kurar. )
  4. Komut Satırına sysmon.exe -i kodunu yazalım ve çalıştıralım. Ardından önümüze çıkan yerde "Install" tuşuna basalım. Artık sysmon kuruldu. Sysmon kendini varsayılan konfigürasyon ile kurar. Bunu görmek için de: sysmon –c komutu kullanılır.

f8l1281.png


Sysmon Konfigürasyon İşlemleri

Öncelikle sysmon konfigürasyon için XML dilini kullanır. Ayrıca konfigürasyonu kendinize göre değiştirebilir, hazır konfigürasyonlar kullanabilirsiniz. Hash algoritmasını md5 olarak seçmek, ağ bağlantılarını devre dışı bırakmak, DNS lookup ayarları, CRL checking... gibi özellikleri kendiniz de ayarlayabilirsiniz. Örnek config'i:
Adresinden kontrol edebilirsiniz. Config oluşturmak için XML bilgisi gerekmektedir. Ayrıca sysmon'un bileşenlerine de hakim olmanız gerekmektedir. Hazır config de kullanabilirsiniz. Config değiştirmek için: sysmon –c configyolu.xml komutunu izlemeniz yeterlidir.

f8l1281.png


Olay Görüntüleyici (Log Bölümü)

Sysmon'u kurduk. Öncelikle bir olay görüntüleyici (event viewer)'a göz atalım. Bunun için Windows Arama yerine "Olay Görüntüleyici" (bilgisayarınız ingilizce dilinde ise event viewer) yazıyoruz ve çalıştırıyoruz.

8fwRW09s_blue.jpg

Windows Günlükleri Bölümü: Bu kısım, genel windows loglarının tutulduğu bölümüdür. Bu kısımdan; uygulama, güvenlik, kurulum, sistem ve iletilen olaylar loglarını inceleyebilirsiniz.
Uygulama ve Hizmet Günlükleri Bölümü: Adı üstüne uygulama ve hizmetlerin loglarının tutulduğu bölümüdür. Bu bölümden Sysmon loglarına da ulaşacağız.

f8l1281.png


Olay Görüntüleyici İçerisinden Sysmon

Öncelikle "Uygulama ve Hizmetler Günlüklerine" girelim. Ardından MicrosoftWindows Sysmon Operational yolunu inceleyelim. Eğer Sysmon güzel bir şekilde kurulduysa; buradaki logları görebiliyor olmanız lazım. 2 kere tıklayarak log hakkında daha fazla bilgi alabilirsiniz. Ayrıca ayrıntılar kısmından da Kolay Görünüm veya XML görünümünü kullanabilirsiniz. Bunlar da işinize yarayacaktır. Burada işinize yarayacak bir çok kaynak var. Örnek Zoom logu:

L5WyQX1M_zoomke.jpg

Ayrıntılar bölümünden; Kolay Görünüm veya XML Görünümünü seçebilirsiniz. XML Görünümü, size schema gibi gözükecektir. Eğer wordpress'te schema pro olayını bilen varsa bunu da rahat anlar diye düşünüyorum.

Kategori bölümünden bahsedecek olursak, bu bölümde bir sürü kategori vardır. Network connections, Process create, ... gibi bir sürü kategori vardır. Bunlar da sizin incelemenize kolaylık sağlarken, hangi alanda sorun varsa o alana daha çabuk yönelmenizi sağlar. Ayrıca konfigürasyon yapmamız lazım. Ben şimdilik swiftonsecurity'nin konfigürasyonunu kullanacağım. (Yukarıda linkini vermiştim) XML dosyasına raw yaparak Sysmon dosyasına kaydediyorum. Ardından sysmon.exe - c sysmonconfig-export.xml komutu ile config'i yüklüyorum.

Bir de şimdi event viewer'a bakalım. Gördüğünüz gibi, farklı kategoride loglar da düşüyor artık. O kadar güzel bir araç ki, daha demin yazdığımız kod bile Process Create olarak sysmon'a düşüyor:

CommandLine: sysmon.exe -c sysmonconfig-export.xml
IntegrityLevel: High


Bu şekilde logları inceleyebiliyorum. Ayrıca network portları olsun, bir çok şeyi de detaylı bir şekilde gösteriyor.

f8l1281.png


Olay Görüntüleyici EVENT ID Farkındalığı

Şimdi EVENT ID (Olay Kimliği) kısmını bir inceleyelim. Öncelikle gördüğünüz gibi, tüm logların bir event id si bulunmakta. Önemli event idleri bilirsek, loglama kısmında daha önde olabiliriz. Örneğin 4625 event id si. Bu event id, yanlış oturum açma eylemiyle ilgili bir iddir. Kişinin yanlış oturum açmasıyla düşer. Bunu da Windows Günlükleri - Güvenlik kısmından inceleyebiliriz.

Güvenlik kısmına giriyorum ve sağ tarafta bulunan geçerli günlüğe filtre uygula seçeneğine basıyorum. yazan kısma incelemek istediğimiz portu yazıyoruz. Ben 4625 yazıyorum. Tamam dediğimde hiçbir şey çıkmıyor, demek ki son zamanlarda başarısız bir giriş eyleminde bulunulmamış. Tekrar tüm logları görmek için sağ kısımdan filtreyi kaldıra basabiliriz.

Örnek bir saldırı senaryosu düşünelim: 4625 idsinde bir güvenlik logu tutulmuş ve oturum açma türü: 10 ve üstü bir sayı. Bu durumda şüphelenmemiz lazım. Çünkü bir kullanıcının bu kadar çok RDP bağlantısı göndermesi normal değil. RDP bağlantılarınız açık değilse ve bu kadar çok istek geliyorsa hacklenmiş olabilir, veya hacklenmek üzere olabilirsiniz. Örnek senaryoda bunun RDP üzerinden gerçekleşen bir şifre saldırısı olduğu söylenilebilir.

Bu saldırıda, Network Information kısmında ağ bilgileri görünecektir. (IP Adresi) Oturum açmak isteyip de başarısız olan kişinin IP adresini o kısımdan görebiliriz. Logon tipi 5 ise windows servisinin açtığı oturumlar olarak geçiyor. Her hangi bir sıkıntı yok. (kullanıcı etkileşimi sıkıntısından) Bu kısmı sizde inceleyebilirsiniz, RDP üzerinden saldırı yiyip yemediğinizi görebilirsiniz


f8l1281.png


Olay Görüntüleyici EVENT ID Farkındalığı 2

Evet, şimdi sizlere 4720 (Bir kullanıcı hesabı oluşturuldu) idsinden bahsedeceğim. Bu id adı üstüne kullanıcı hesabı oluşturulduğunda loglara düşüyor. Örnek olarak bir kullanıcı hesabı oluşturuyorum. Evet, turkhackteam adında bir kullanıcı oluşturdum ve 4720 idme direk bir log düştü:

ywJSXxdx_blueteam.jpg

Şimdi ise kullanıcı hesabını sildim. Yani 4726 (Bir kullanıcı hesabı silindi) idsine bir log düşürdüm. Gelin bu loga beraber bakalım:

LUR7mXs1_4726ke.jpg

f8l1281.png


Teşekkürler!

Konu bu kadardı, buraya kadar incelediğiniz için teşekkürler. Umarım sysmon size bir farkındalık olmuştur, logları dikkatli incelemeyi unutmayın. Ayrıca kendiniz de event idlere bakarak bir çalışma gerçekleştirebilirsiniz.

www.turkhackteam.org - Blue Team

Kaynakça:

Kod:
https://www.youtube.com/watch?v=PY1v_mZnjks
https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
https://www.youtube.com/watch?v=gsnODLm-dCY
https://www.youtube.com/watch?v=8CvfM4AX4HM&t=2465s
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
https://sibermetin.com/sysmon-log-analizi-nedirnasil-kurulur
https://oguzcanpamuk.medium.com/sysmon-splunk-ile-tehdit-av%C4%B1-be562529d6c7
https://www.bgasecurity.com/makale/windows-sistemlerde-sysmon-ile-log-analizi/
https://www.prismacsi.com/sysmon-ile-log-toplama-ve-analizi/

Etiketler: sysmon nedir, sysmon türkçe kaynak, sysmon kullanımı, sysmon event idleri, sysmon event id türkçe, sysmon türkçe event id kullanımı, sysmon kaynakları türkçe, türkhackteam sysmon
 
Son düzenleme:

JohnWick51

Katılımcı Üye
20 Mar 2022
857
370
rvvy5ge.png
Log Nedir?

Log, kısaca: Gerçekleşen her hangi bir olayın kaydıdır. Bulunduğumuz dönemde siber güvenlik çok önemli. Bu yüzden sistem; kendini loglamak (kayıt altına almak) zorunda. Her hangi bir olası durumda, log dosyaları kontrol edilir. Kısaca log, sanal dünyanın koruyucusu, dedektifidir. Log kaydı sistemlerimizde sürekli olarak
tutulmaktadır. Yani olası bir siber saldırı durumunda, loglar kontrol edilir. Bilişim Sistemlerinin en önemli silahıdır loglar...

f8l1281.png


Sysmon Nedir?

Öncelikle Sysmon, Microsoft tarafından geliştirilmiştir. Yüklendiği sistem üzerindeki aktiviteleri kayıt altına alır. Windows sistemlere kurulur ve log analizi yapılabilir. Ama öncelikle şunu belirtmeliyiz: Sysmon kendi kendine analiz yapmaz, her hangi bir koruma sağlamaz. Olası durumda; saldırıyı sizin öngörmeniz, müdahale etmeniz gereklidir

f8l1281.png


Sysmon'un Özellikleri (Neden Sysmon?):
  • Komut satırı loglama (current ve parent process)
  • İşlemlere ait dosya özet değeri alma (SHA1 (varsayılan), MD5, SHA256 veya IMPHASH)
  • Birden fazla hash değerini aynı anda kaydedebilme
  • İşlemlere ait (current ve parent process) GUID değerini kaydedebilme (korelasyon için)
  • Driver, DLL yükleme olaylarını imza ve hash değerleri ile birlikte kaydedebilme
  • DNS loglama
  • Ağ bağlantılarını takip edebilme
  • Dosya oluşturma zamanındaki değişiklikleri algılama

f8l1281.png


Sysmon Nasıl Kurulur?
  1. Sysmon - Windows Sysinternals adresinden sysmonu indirelim.
  2. Masaüstüne Sysmon adında bir dosya açalım, rar'ın içindekileri Sysmon dosyasına kopyalayalım. Ardından üst bölümden dosya konumunu kopyalayalım.
  3. Komut Satırı açalım ve ardından kopyaladığımız dosya yerine cd komutu ile gidelim. Ardından sysmon.exe -h komutunu uygulayalım. Aradığımız kodu bulalım: Sysmon.exe -i configdosyasi.xml (eğer config belirtmek istemiyorsanız direk sysmon.exe -i yazabilirsiniz default config ile kurar. )
  4. Komut Satırına sysmon.exe -i kodunu yazalım ve çalıştıralım. Ardından önümüze çıkan yerde "Install" tuşuna basalım. Artık sysmon kuruldu. Sysmon kendini varsayılan konfigürasyon ile kurar. Bunu görmek için de: sysmon –c komutu kullanılır.

f8l1281.png


Sysmon Konfigürasyon İşlemleri

Öncelikle sysmon konfigürasyon için XML dilini kullanır. Ayrıca konfigürasyonu kendinize göre değiştirebilir, hazır konfigürasyonlar kullanabilirsiniz. Hash algoritmasını md5 olarak seçmek, ağ bağlantılarını devre dışı bırakmak, DNS lookup ayarları, CRL checking... gibi özellikleri kendiniz de ayarlayabilirsiniz. Örnek config'i:
Adresinden kontrol edebilirsiniz. Config oluşturmak için XML bilgisi gerekmektedir. Ayrıca sysmon'un bileşenlerine de hakim olmanız gerekmektedir. Hazır config de kullanabilirsiniz. Config değiştirmek için: sysmon –c configyolu.xml komutunu izlemeniz yeterlidir.

f8l1281.png


Olay Görüntüleyici (Log Bölümü)

Sysmon'u kurduk. Öncelikle bir olay görüntüleyici (event viewer)'a göz atalım. Bunun için Windows Arama yerine "Olay Görüntüleyici" (bilgisayarınız ingilizce dilinde ise event viewer) yazıyoruz ve çalıştırıyoruz.

8fwRW09s_blue.jpg

Windows Günlükleri Bölümü: Bu kısım, genel windows loglarının tutulduğu bölümüdür. Bu kısımdan; uygulama, güvenlik, kurulum, sistem ve iletilen olaylar loglarını inceleyebilirsiniz.
Uygulama ve Hizmet Günlükleri Bölümü: Adı üstüne uygulama ve hizmetlerin loglarının tutulduğu bölümüdür. Bu bölümden Sysmon loglarına da ulaşacağız.

f8l1281.png


Olay Görüntüleyici İçerisinden Sysmon

Öncelikle "Uygulama ve Hizmetler Günlüklerine" girelim. Ardından MicrosoftWindows Sysmon Operational yolunu inceleyelim. Eğer Sysmon güzel bir şekilde kurulduysa; buradaki logları görebiliyor olmanız lazım. 2 kere tıklayarak log hakkında daha fazla bilgi alabilirsiniz. Ayrıca ayrıntılar kısmından da Kolay Görünüm veya XML görünümünü kullanabilirsiniz. Bunlar da işinize yarayacaktır. Burada işinize yarayacak bir çok kaynak var. Örnek Zoom logu:

L5WyQX1M_zoomke.jpg

Ayrıntılar bölümünden; Kolay Görünüm veya XML Görünümünü seçebilirsiniz. XML Görünümü, size schema gibi gözükecektir. Eğer wordpress'te schema pro olayını bilen varsa bunu da rahat anlar diye düşünüyorum.

Kategori bölümünden bahsedecek olursak, bu bölümde bir sürü kategori vardır. Network connections, Process create, ... gibi bir sürü kategori vardır. Bunlar da sizin incelemenize kolaylık sağlarken, hangi alanda sorun varsa o alana daha çabuk yönelmenizi sağlar. Ayrıca konfigürasyon yapmamız lazım. Ben şimdilik swiftonsecurity'nin konfigürasyonunu kullanacağım. (Yukarıda linkini vermiştim) XML dosyasına raw yaparak Sysmon dosyasına kaydediyorum. Ardından sysmon.exe - c sysmonconfig-export.xml komutu ile config'i yüklüyorum.

Bir de şimdi event viewer'a bakalım. Gördüğünüz gibi, farklı kategoride loglar da düşüyor artık. O kadar güzel bir araç ki, daha demin yazdığımız kod bile Process Create olarak sysmon'a düşüyor:

CommandLine: sysmon.exe -c sysmonconfig-export.xml
IntegrityLevel: High


Bu şekilde logları inceleyebiliyorum. Ayrıca network portları olsun, bir çok şeyi de detaylı bir şekilde gösteriyor.

f8l1281.png


Olay Görüntüleyici EVENT ID Farkındalığı

Şimdi EVENT ID (Olay Kimliği) kısmını bir inceleyelim. Öncelikle gördüğünüz gibi, tüm logların bir event id si bulunmakta. Önemli event idleri bilirsek, loglama kısmında daha önde olabiliriz. Örneğin 4625 event id si. Bu event id, yanlış oturum açma eylemiyle ilgili bir iddir. Kişinin yanlış oturum açmasıyla düşer. Bunu da Windows Günlükleri - Güvenlik kısmından inceleyebiliriz.

Güvenlik kısmına giriyorum ve sağ tarafta bulunan geçerli günlüğe filtre uygula seçeneğine basıyorum. yazan kısma incelemek istediğimiz portu yazıyoruz. Ben 4625 yazıyorum. Tamam dediğimde hiçbir şey çıkmıyor, demek ki son zamanlarda başarısız bir giriş eyleminde bulunulmamış. Tekrar tüm logları görmek için sağ kısımdan filtreyi kaldıra basabiliriz.

Örnek bir saldırı senaryosu düşünelim: 4625 idsinde bir güvenlik logu tutulmuş ve oturum açma türü: 10 ve üstü bir sayı. Bu durumda şüphelenmemiz lazım. Çünkü bir kullanıcının bu kadar çok RDP bağlantısı göndermesi normal değil. RDP bağlantılarınız açık değilse ve bu kadar çok istek geliyorsa hacklenmiş olabilir, veya hacklenmek üzere olabilirsiniz. Örnek senaryoda bunun RDP üzerinden gerçekleşen bir şifre saldırısı olduğu söylenilebilir.

Bu saldırıda, Network Information kısmında ağ bilgileri görünecektir. (IP Adresi) Oturum açmak isteyip de başarısız olan kişinin IP adresini o kısımdan görebiliriz. Logon tipi 5 ise windows servisinin açtığı oturumlar olarak geçiyor. Her hangi bir sıkıntı yok. (kullanıcı etkileşimi sıkıntısından) Bu kısmı sizde inceleyebilirsiniz, RDP üzerinden saldırı yiyip yemediğinizi görebilirsiniz


f8l1281.png


Olay Görüntüleyici EVENT ID Farkındalığı 2

Evet, şimdi sizlere 4720 (Bir kullanıcı hesabı oluşturuldu) idsinden bahsedeceğim. Bu id adı üstüne kullanıcı hesabı oluşturulduğunda loglara düşüyor. Örnek olarak bir kullanıcı hesabı oluşturuyorum. Evet, turkhackteam adında bir kullanıcı oluşturdum ve 4720 idme direk bir log düştü:

ywJSXxdx_blueteam.jpg

Şimdi ise kullanıcı hesabını sildim. Yani 4726 (Bir kullanıcı hesabı silindi) idsine bir log düşürdüm. Gelin bu loga beraber bakalım:

LUR7mXs1_4726ke.jpg

f8l1281.png


Teşekkürler!

Konu bu kadardı, buraya kadar incelediğiniz için teşekkürler. Umarım sysmon size bir farkındalık olmuştur, logları dikkatli incelemeyi unutmayın. Ayrıca kendiniz de event idlere bakarak bir çalışma gerçekleştirebilirsiniz.

www.turkhackteam.org - Blue Team

Kaynakça:

Kod:
https://www.youtube.com/watch?v=PY1v_mZnjks
https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
https://www.youtube.com/watch?v=gsnODLm-dCY
https://www.youtube.com/watch?v=8CvfM4AX4HM&t=2465s
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
https://sibermetin.com/sysmon-log-analizi-nedirnasil-kurulur
https://oguzcanpamuk.medium.com/sysmon-splunk-ile-tehdit-av%C4%B1-be562529d6c7
https://www.bgasecurity.com/makale/windows-sistemlerde-sysmon-ile-log-analizi/
https://www.prismacsi.com/sysmon-ile-log-toplama-ve-analizi/

Etiketler: sysmon nedir, sysmon türkçe kaynak, sysmon kullanımı, sysmon event idleri, sysmon event id türkçe, sysmon türkçe event id kullanımı, sysmon kaynakları türkçe, türkhackteam sysmon
Ellerine saglik. TESEKKURLER
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.