Open in app

Sign in

Write

Sign in

Sysmon — Detaylı Komut Analizi

kaleileriteknoloji
1 min readDec 20, 2021

--

Bu yazımızda Sysmon ile detaylı komut analizinin nasıl yapılabileceğini ele alacağız.

Sysmonda çalıştırılan komutlarla ilgili detaylı bilgiyi Event ID 1 ile inceleyebiliriz. Parentuser, ParentCommandLine , ParentImage, ParentProcessId, CommandLine, Image, ProcessId ve ProcessGuid üzerinden korelasyon işlemleri yapılabilir. Çalıştırılan komutlar CommandLine aracılığıyla incelenebilir.

Bilgi toplamak için kullanılabilecek bazı komutlar aşağıdaki şekildedir:

Bilgi toplama:

whoami -> Kullanıcı adı

hostname -> Hostname bilgisi

netstat -> Ağı dinleyen servisler

ipconfig /all -> Ağ bilgisi

net user -> Kullanıcılar

net share -> Paylaşımlar

net localgroup -> Kullanıcı Grupları

net localgroup Administrators -> Administrator Grubu Üyeleri

route print -> routing tablosu

reg query -> registry sorgulama

Servis işlemleri

sc start <servis> -> Servisi başlatma

sc stop <servis> -> Servisi durdurma

Yetki Yükseltme İşlemleri İçin

cacls -> erişim izinlerini görebilmek için

accesschk.exe -> izinleri görebilmek için

runas -> farklı bir kullanıcı yetkisi ile çalıştırmak için

sc stop <servis> -> servis yetkisi için

sc start<servis> -> servis yetkisi için

tasklist -> processlere ait bilgi toplamak için

msiexec -> komut çalıştırma

Sysmon
Tehdit Avcılığı
Threat Hunting
Windows Log Analizi
Purple Team

--

--

kaleileriteknoloji

Written by kaleileriteknoloji

384 Followers

https://kaleileriteknoloji.com.tr/ https://kaleakademi.com/ https://github.com/kaleakademi

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams