Sysmon Kurulumu ve Event Log Yapılandırması
Sysmon, sistem üzerinde gerçekleşen olaylara dair normal şartlarda elde edemeyeceğiniz türden bir loglama yapmaya imkan veren sysinternals ailesi üyesi ücretsiz bir araç. Bu uygulama sayesinde her hangi bir uygulama hangi parametre ile çalışmış, o process’i oluşturan uygulama hangisi, çalışan process’in özet değeri (Virustotal?) nedir vb. gibi pek çok detay bilgi elde edebilirsiniz.
Asagidaki baglantidan Sysmon eklentisini indiriyoruz:
Zipli dosyadan dosyalari cikartiyoruz. C:/ dizininde oldugunu varsayarsak cmd ya da powershell uzerinden asagidaki komutu calistiriyoruz:
C:/Sysmon/Sysmon64 -accepteula -i -h md5,sha256 -n
Bu komut kurulum sartlarini kabul ederek sysmon’un sisteme kurulmasina izin verecektir. Yukaridaki diger parametreler ise md5 sh256 hashleme islemlerinin olusumunu ve ag baglantilarini monitoring edecek sekilde yapilandirilmasina olanak sagliyor.
WMI kaynagi eklerken Sysmon ile alakali girdiği görebilmek için asagidaki yol üzerinde New Key oluşturuyoruz.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog altında oluşturmamız.
Yeni Key Adimiz ise tirnaklar hariç “Microsoft-Windows-Sysmon/Operational”
Artik log kaynagini eklerken asagidaki gibi Microsoft-Windows-Sysmon/Operational’ i seçebilir isterseniz Event Viewer üzerinden de kontrollerinizi gerçekleştirebilirsiniz.