Sysmon — Sysmon Tools
Bu yazımızda https://github.com/nshalabi/SysmonTools adresinden indirilebilir durumda olan araçları inceleyeceğiz.
İlk olarak Sysmon loglarını xml formatında dışarıya çıkartıyoruz. Bunun için Sysmon -> Operational logunu sağ tıklıyoruz. “Save All Events As…” butonuna basıyoruz.
Karşımıza çıkan menüde dosya adını sysmon olarak belirterek dosya formatını xml olarak seçerek dosyanın kaydedilmesini sağlıyoruz.
Sysmon araçlarında ilk olarak SysmonView’ı açalım ve inceleyelim.
Sysmon.xml dosyasını import etmek için File->”Import Sysmon Event Logs “ butonuna basalım ve dosyayı import edelim.
Bu aşamada çalıştırılan herhangi bir Image Path’in üzerine tıklayıp akabinde ise Sessions bilgisine tıklayıp process’e ait akışı gözleyebiliriz.
Process akışı üzerinden bu sayede tehdit avcılığı yapabiliriz. Veya sağ alt sütunda yer alan “Hierarchy” butonuna basarak processlere ait hiyerarşik yapıyı gözlemleyebiliriz.İlk olarak sisteme MS17–010 zafiyeti istismar edilerek girilmiş ve spoolsv.exe processibu sayede çalışmış, daha sonra cmd.exe üzerinden kullanıcı ile ilgili işlem yapıldığı aşağıdaki görselde yer alan kırmızı çerçeveli görselde gözlemlenmiştir.
“Sysmon Shell” bölümünde ise sysmon için ilgili konfigürasyon dosyasının Templatelerde yer alan konfigürasyon dosyalarına göre düzenlenmesine izin vermektedir.
İlk olarak “Templates” butonuna tıklayalım ve SwiftonSecurity butonuna basalım.
Karşımıza çıkan menülerde istediğimiz kuralın konfigürasyon dışında bırakılmasını istiyorsak “Delete Selected Rules” butonuna basabiliriz. Veya condition kısmından ilgili kuralın eklenmesini sağlayabiliriz.
Konfigürasyon dosyasını dışarıya aktarmak içinse File-> Save to XML Configuration butonuna basıyoruz.
Konfigürasyon dosyasının adını belirterek kaydediyoruz.