Sysmon Nedir?

ѕeleɴια

Kıdemli Üye
18 May 2018
2,620
904
ZYZZ
Sysmon Nedir?

Monitoring için önemli yer kaplayan bir uygulama. Sysmon sistemde oluşan hareketleri, olayları vb. kayıt altına alan ve bu kayıtları görüntüleme durumunu sağlayan bir uygulamadır. Yani Log tutmak ve analizleri için kullanılan bir uygulama. Event Log olay görüntüleyicisi aygıtı ile oluşan durumları arayüzle bize sunar.

Sysmon Özellikleri

>> Hash, İmaj dosyalarını belli şifreleme yöntemleriyle şifreleme özelliğine sahiptir. SHA1, MD5, SHA256, IMPHASH duruma örnektir.
>> Belirli olayları dışarda tutmak için wazuh uygulamasında olduğu gibi kurallar ile yazılan bir uygulamadır.
>> Disklerde okuma izini için loglama işlemi yapabilmektedir.
>> Ağlar hakkında bilgileri bünyesine kayıt eder. Bu bilgiler IP adresleri, Portları ve hostname bilgileri olabilir.




Sysmon Kurulumu

Kurulum için ilk adımımız internet tarayıcımıza Sysmon yazmak.

SAYFA

İşte bu sayfaya erişmeniz gerek. Burada sysmon için temelde bilinmesi gereken durumlar da yazılı olmakta. En üst kısımda ise Download sysmon seçeneğini görebilirsiniz.



Dosyayı indirmek için üzerine tıklayın. Hızlı indirilecek bir dosya boyutu küçük. Sysmon.zip halinde bir dosya gelecek içini açalım.



64 bit ve 32 bit sistemler için kurulum dosyaları burda. Bilgisayarınız 64bit ise 64bit olanı 32 bit ise Sysmon yazana çift tıklayın. Çift tıklayın çalışması gerekir ama eğer çalışmazsa komut satırından bir işlem ile de devam edilebilir. CMD komut satırını açın sırasıyla verdiğim komutları yazın. Bu komutlara geçmeden önce yerel diskinizin içindeki Windows dizinine Sysmon adlı bir klasör oluşturup Sysmon.zip içindeki dosyaları o klasöre aktarın. Daha sonra CMD'yi YÖNETİCİ olarak açın. Açtıktan sonra Wındows system32 dizininde olacaktır.

Kod:
cd ..


cd Sysmon


sysmon /? ( Size bilgiler verecek bir metin gösterir )


Sysmon64.exe -i -h md5 -l -n

Kodunu çalıştırıyoruz.

Bir pencere açılacak İ agree seçeneğine tıklayın. Sysmon artık başlatıldı inceleyelim. Windows günlüklerine bakacağım. Windows içindeki olayların kayıt tutulduğu yer. Olay görüntüleyicisi. Windows başlat aramadan Olay görüntüleyicisi yazıp ulaşabilirsiniz. Açtığınızda solda bir bar olacak. Bu bardan Windows günlüklerini açıp Uygulamalar seçeneğine basarsanız windows'da size gelip giden uyarıların saatleriyle birlikte burada görünür halde. Güvenlik kısmında güvenlik ile alakalı olaylar Kurulum ise kurulumlarla ilgili olan bölüm. Bu olayların üzerlerine çift tıkladığınızda olayın ne olduğunu da anlayabiliyorsunuz uyarı görüntülenebilir. Uygulama ve hizmet günlüklerine çift tıklayıp bardaki Microsoft seçeneğini açalım. Sonrasında windows bölümünü açalım Sysmon dosyası orda. Sysmonu bulup onunda yanında bulunan OK seçeneğine tıklayın. Sysmonla bağlantısı olan logların tutulduğu yer ise burada. Tarayıcıda kurulan bağlantı çeşitleri, bağlanılan server ıp adresleri, TCP bağlantıları gibi. Sysmon konfigüre edilerek daha detaylı bilgiler alınabilir.




 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.