Sysmon — Kullanıcı İşlemleri Analizi

Bu yazımızda kullanıcı işlemlerinin analizini ele alacağız.

Peki kullanıcı işlemleri neden önemlidir?

Bir sisteme giriş yapan saldırgan ilk olarak kendine bir kullanıcı oluşturur. Ve kendini farklı gruba/gruplara eklemek ister. Böylece farklı yetkilerle farklı sistemlere erişim sağlmaya çalışabilir. Veya kritik bir kullanıcıyı sistemden kaldırabilir, grubunu değiştirebilir.

Not: Sisteme yeni bir kullanıcı eklendiğinde,çıkarıldığında veya domain admin grubuna bir kullanıcı eklendiğinde mutlaka SIEM üzerinden sistem yöneticisine ve diğer ilgililere mail veya SMS atılmalıdır. SMS için Nexmo vb. servisler kullanılabilir.

Windows 7 makinamızda cmd.exe aracılığıyla siber kullanıcısını aşağıdaki şekilde sisteme ekliyorum.

Sysmon loglarında Event ID 1 olarak incelediğimiz zaman “net1 user siber2 12345 /add” komutunun çalıştırıldığını görebiliyoruz.

Oluşturmuş olduğumuz kullanıcıyı cmd.exe aracılığıyla aşağıdaki şekilde silelim.

Sysmon loglarını incelerken Event ID 1 olduğu loglara yoğunlaşırsak kullanıcıyı silmek için kullanılan komutu aşağıdaki şekilde tespit edebiliriz.

Windows Log Analizi — Kullanıcı İşlemleri Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-kullan%C4%B1c%C4%B1-i%CC%87%C5%9Flemleri-analizi-3cecd0e17d77?source=friends_link&sk=8da10841e4ac896c4c6ba7966fb03162 linki üzerinden ulaşabilirsiniz.