Sysmon — Detaylı Komut Analizi
Bu yazımızda Sysmon ile detaylı komut analizinin nasıl yapılabileceğini ele alacağız.
Sysmonda çalıştırılan komutlarla ilgili detaylı bilgiyi Event ID 1 ile inceleyebiliriz. Parentuser, ParentCommandLine , ParentImage, ParentProcessId, CommandLine, Image, ProcessId ve ProcessGuid üzerinden korelasyon işlemleri yapılabilir. Çalıştırılan komutlar CommandLine aracılığıyla incelenebilir.
Bilgi toplamak için kullanılabilecek bazı komutlar aşağıdaki şekildedir:
Bilgi toplama:
whoami -> Kullanıcı adı
hostname -> Hostname bilgisi
netstat -> Ağı dinleyen servisler
ipconfig /all -> Ağ bilgisi
net user -> Kullanıcılar
net share -> Paylaşımlar
net localgroup -> Kullanıcı Grupları
net localgroup Administrators -> Administrator Grubu Üyeleri
route print -> routing tablosu
reg query -> registry sorgulama
Servis işlemleri
sc start <servis> -> Servisi başlatma
sc stop <servis> -> Servisi durdurma
Yetki Yükseltme İşlemleri İçin
cacls -> erişim izinlerini görebilmek için
accesschk.exe -> izinleri görebilmek için
runas -> farklı bir kullanıcı yetkisi ile çalıştırmak için
sc stop <servis> -> servis yetkisi için
sc start<servis> -> servis yetkisi için
tasklist -> processlere ait bilgi toplamak için
msiexec -> komut çalıştırma
