System Monitor (Sysmon), aktif olarak kullanılan bir sistemde oluşan hareketleri ve olayları kayıt altına alabilen araçtır. Sysmon, bu kayıtları Windows işletim sistemleri için Olay Görüntüleyicisi (Event Log) aracılığıyla yapan sistem servisi ve aygıt sürücüsüdür. İşlemler, ağ bağlantıları ve bir dosyanın oluşturulma detayıyla ilgili bilgileri sunar.
Sysmon aracı sistemde log analizi yapmaz ya da siber saldırılara karşı koruma sağlamaz.
2. GİZLİ 2
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
1 Giriş _____________________________________________________________________ 3
1.1 Sysmon Nedir? _______________________________________________________________ 3
1.2 Sysmon Aracı Özellikleri Nelerdir?________________________________________________ 3
2 Sysmon View Aracı _________________________________________________________ 3
3 Sysmon Shell Aracı ________________________________________________________ 10
4 Sonuç ___________________________________________________________________ 14
3. GİZLİ 3
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
1 Giriş
Her geçen gün gelişen ve karmaşıklaşan siber tehditler, tehditleri önleyici güvenlik ürünlerine her
zaman yakalanmamaktadır. Bilişim sistemlerinin güvenliğini sağlayabilmenin en önemli noktalarından
biri de log kaydı tutmaktır. Log kaydı, sistemde oluşan olayların veya hareketlerin kayıt altına alındığı
dosyalardır.
1.1 Sysmon Nedir?
System Monitor (Sysmon), aktif olarak kullanılan bir sistemde oluşan hareketleri ve olayları kayıt
altına alabilen araçtır. Sysmon, bu kayıtları Windows işletim sistemleri için Olay Görüntüleyicisi (Event
Log) aracılığıyla yapan sistem servisi ve aygıt sürücüsüdür. İşlemler, ağ bağlantıları ve bir dosyanın
oluşturulma detayıyla ilgili bilgileri sunar.
Sysmon aracı sistemde log analizi yapmaz ya da siber saldırılara karşı koruma sağlamaz.
1.2 Sysmon Aracı Özellikleri Nelerdir?
Ø Geçerli ve ana işlemler (parent) süreçlerini komut satırında loglara kaydeder.
Ø SHA1, MD5, SHA256 veya IMPHASH yöntemleriyle imaj dosyalarını hashleyerek kaydeder.
Ø Birden fazla hash fonksiyonu aynı anda kullanılabilir.
Ø Sürücü ve DLL dosyalarının yüklenmesini imzalarla ve hash fonksiyonlarıyla birlikte loglara
kaydeder.
Ø Disklerde ve volümlerde okuma izni için loglama yapar.
Ø İsteğe bağlı olarak, ağ bağlantılarını, IP adreslerini, portları, hostname bilgilerini loglara
kaydeder.
Ø Dosya oluşturma zamanlarının değiştirilmesi, zararlı yazılımların izlerini örtmek için kullandığı
yöntemlerdendir. Bu yüzden dosyanın gerçekten ne zaman oluşturulduğunu anlamak için
değişiklikleri algılayarak loglara kaydeder.
Ø Kayıt Defteri Düzenleyicisinde (The Registry) herhangi bir yapılandırma meydana gelirse
otomatik olarak yeniden yükleme yapar.
Ø Belirli olayları dinamik olarak dahil etmek ya da hariç tutmak için kural filtrelemesi yapar.
Ø Önyükleme işleminden itibaren olayları loglar, böylece kernel-mode zararlı yazılımları
etkinliklerinini tespit edebilir.
2 Sysmon View Aracı
Sysmon loglarını mantıksal olarak gruplandırarak ve ilişkilendirerek çalıştırılabilir dosyalar, oturum
GUID (Globally Unique IDentifier) değerleri, etkinliklerin oluşturulma zamanı gibi mevcut verilerden
anlamlı analizler yapılmasını sağlayan araçtır.
Analize başlayabilmek ve aracın fonksiyonlarını kullanabilmek için öncelikle WEVTutil (Olay logları
ve yayıncı bilgisi almak, sorgular çalıştırarak logları export etmek, logları temizlemek, logları arşivlemek
4. GİZLİ 4
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
işlemleridir) komutu sayesinde sysmon loglarını XML dosyasına aktarmak gerekir. Oluşturulan XML
dosyası Sysmon View aracıyla açılarak, analiz edilir.
Logları içeren XML dosyasını Sysmon View aracına aktarmak için uygulama başlatıldığında "File -
Import Sysmon Event Logs" sekmesi kullanılmaktadır. Dosya bir kez içe aktarıldığında sonradan "File -
Load Existing Data" sekmesinden tekrar tekrar analiz edilebilir.
Yeni bir olay logu analiz edilmek için Sysmon View aracına aktarıldığında mevcut işlemler
kaybolmaktadır. Bunun için Sysmon View üzerinde yapılan tüm işlemler SysmonViewDB adlı bir SQLite
veritabanı dosyasına aktarılmaktadır. Bu dosya saklanılabilir, kopyalanabilir ya da paylaşılabilir.
Sysmon View aracı kullanılarak analiz edilen loglar VirusTotal, IPStack, WireShark gibi önemli
uygulamalar tarafından da incelenebilir. Bu işlemler için bahsedilen uygulamaların API Key'leri gereklidir.
Mevcut API Key'ler "File - Preferences" sekmesinden Sysmon View aracına eklenebilir.
5. GİZLİ 5
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
Sysmon View aracına import edilen XML formatındaki log dosyaları, Process View sekmesinde
görüntülenmektedir. Bu sekmede sol bölümde yer alan filtreleme çubuğunda, mevcut logların ilişki
bilgileri yer alır. Detaylı analizin yapılabilmesi için tüm ilişkilerin görüntülenmesi daha doğrudur.
Process View sekmesinde basit bir arayüz aracılığıyla çalıştırma oturumlarının (run sessions)
analizi veya olay türü (Ağ Olayı gibi) filtrelemeleriyle detaylı izleme yapılabilir. Örneğin aynı oturumda
çalışan ancak farklı konumlarda çalışıyor olarak görünen oturumlar tespit edilebilir.
Çalıştırma oturumlarını filtrelemek için GUID değerlerinden yararlanılır. Log dosyasına kaydedilen
çalışan bir oturum seçilerek tüm ilişkili olaylar zamana göre sıralanır ve veri akış diyagramına benzer
yapıda incelenebilir.
6. GİZLİ 6
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
Olay ayrıntılarına çift tıklayarak detaylı bilgiler görüntülenmektedir. Sürecin oluşturulma detaylarında;
Ø Çalıştırılma tarihi ve zamanı
Ø Süreç ID ve GUID bilgileri
Ø Imaj yolu
Ø Sistemde çalıştırılan komutlar
Ø Çalışan sürecin sistemde bulunduğu dizin
Ø Oturum ID ve GUID bilgileri
Ø Terminal oturumu
Ø Bütünlük seviyesi
Ø HASH fonksiyonu bilgileri
Ø Parent süreç bilgileri yer almaktadır.
Map View sekmesinde, loglar import edildiğinde kullanıcıya sorulan coğrafi konum bulma seçeneği
işaretlendiyse bu bölümde IP adreslerine ait coğrafi konum bulma özelliği vardır. Sysmon View aracı
ipstack hizmetinden yararlanarak ağ hedeflerini coğrafi olarak haritalandırmaya çalışmaktadır. GUID
oturumuna ait bilgiler sürecin analizi için kullanılmaktadır. Map View sekmesinden analiz yapabilmek
için ipstack hizmetinden API KEY alınmalıdır.
7. GİZLİ 7
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
All Events View (Tüm Olayları Görüntüleme) sekmesinde, loglanan tüm olay verilerini hash
değerlerine, IP adreslerine, domainlere, kayıt defteri verilerine göre filtreleyerek inceleme sağlanır.
Tarih, saat, olay ID, olay tipi, süreç GUID ve bilgisayar değerlerine göre ayrı ayrı inceleme fırsatı sunar.
Process View sekmesindeki incelemenin satırlara bölünerek tüm logların incelenmesini sağlar. Loglanan
tüm veriler üzerinde arama yapmak için filtreleme yapılabilir.
Yaygın olarak karşılaşılan Olay Tipleri (Event Type) sütunu aşağıdaki gibidir:
Ø Process Create: Oluşturulan süreç.
Ø Process Terminated: Sonlanan süreç.
Ø File Creation Time Changed: Oluşturulan dosya zamanının değiştirilmesi.
Hierarchy (Hiyerarşi) sekmesinde, log dosyasına ait hiyerarşik yapıda analiz gösterimi
sunulmaktadır. Tetiklenen süreç sonrasında sistemde sona eren süreçler (Mavi Renk), üst seviyede
çalışan süreçler (Pembe Renk) ve sonlanmamış süreçler (Turuncu Renk) görüntülenebilir.
8. GİZLİ 8
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
Sysmon View aracı sayesinde VirusTotal hizmeti üzerinden API KEY kullanarak, hash
fonksiyonlarına ait kayıtları sorgulamak mümkündür. VirusTotal analizi için süreç üzerine çift tıklanmalı
ve istenilen hash fonksiyonuna ait sorgu için MD5, SHA1, SHA256 değelerine tıklanmalıdır. Tarama
sonrasında sunulan link aracılığıyla VirusTotal sonuçları web tarayıcısından görüntülenmektedir.
9. GİZLİ 9
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
WireShark + TShark ağ protokolü analizi uygulaması tarafından kaydedilen dosyalar, Sysmon View
aracına PCAP/NG dosyası olarak import (yükleme) edilebilir. WireShark uygulamasıyla eşzamanlı olarak
ya da önceden yakalanan ağ paketleri çıktı olarak sisteme kaydedilebilir. Sysmon View kullanarak
kaydedilen bu dosyalar detaylı olarak incelenip, analizi yapılabilir. Process View sekmesinde yer alan
"Packet Capture" bölümünden analiz yapılabilir.
10. GİZLİ 10
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
3 Sysmon Shell Aracı
Sysmon Shell aracı sayesinde, XML formatındaki yapılandırma dosyaları kullanımı basit bir GUI
(Grafik Kullanıcı Arayüzü) aracılığıyla yazılabilir ve ayarlanabilir.
Sysmon için mevcut yapılandırma seçeneklerini araştırmak, XML yapılandırılmasıyla log dosyalarını
dışa aktarmak ve Sysmon Shell sayesinde log dosyalarını kolayca uygulamak ya da güncellemek için
kullanılır. Sysmon Shell, doğrudan registry ayarlarını yüklemez. Yalnızca XML dosyaları aracılığıyla
ayarları bu araca yükler.
Sysmon Shell aracı çalıştırıldığında arka planda sistemde Administrator yetkisiyle "Sysmon.exe -
c" komutunu çalıştırılır. Sysmon araçlarının yüklü olduğu klasörde geçici bir XML dosyası oluşturulur.
XML yapılandırılması kaydedilmeden önce önizleme ile görüntülenebilir.
Sysmon Shell aracında File sekmesinde XML formatlı yapılandırma ayarları import/export
edilebilir. Uygulanan yapılandırmalar Reset bölümüyle sıfırlanabilir.
Ø Process Create: Yeni oluşturulan süreçlerle ilgili genişletilmiş bilgiler bulunur.
Ø FileCreateTime: Bir dosya oluşturma işleminde, belirli bir süreç açıkça dosya oluşturma
zamanını değiştirdiğinde bilgiler tutulur. Bu olay oluşturulan bir dosyanın gerçek zamanını takip
etmek için kullanılır.
11. GİZLİ 11
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
Ø NetworkConnect: Makine üzerindeki TCP/UDP bağlantısı gerçekleşen olayların loglanmasıdır.
Araç üzerinde varsayılan olarak devre dışı bırakılmıştır. Her bir bağlantı ProcessID ve GUID
değerleriyle ilişkilidir.
Ø ProcessTerminate: Bir süreç sonlandırıldığında oluşan logların bulunduğu bölümdür. Süreçlerin
UTC Saat, ProcessGUID ve ProcessID bilgilerini barındırır.
Ø DriverLoad: Sistem üzerinde yüklenen sürücülerle ilgili detaylı bilgilerin bulunduğu olay
bölümüdür.
Ø ImageLoad: Belirli bir süreç üzerinde yüklenen bir imaj olduğunda olay loglarına kaydedilen
bölümdür.
Ø CreateRemoteThread: Bir süreç başka bir süreç için tehdit oluşturduğunda tespit edilen ve
loglara kaydedilen bölümdür. Bu yöntem, zararlı bir yazılımın kod tetiklemesinde ya da başka bir
süreç içerisinde gizlenmeye çalışmasında kullanılmaktadır.
Ø RawAccessRead: Raw Access (Ham Erişim) aracılığıyla, bir süreç sürücü içerisinde "...."
komutu çalıştırdığında olayların loglanmasını gerçekleştiren bölümdür.
Ø ProcessAccess: Bir süreç başka bir süreci tetiklediğinde ve tetiklenen süreç okuma, yazma gibi
dosya işlemleri kapsadığında olayların loglanmasının gerçekleştiği bölümdür. Bellek okuma
saldırıları gerçekleştiren araçların tespit edilmesinde (Lsass.exe) ve saldırı sonucunda
sistemdeki kritik verilerin okunmasını önlemek amacıyla kullanılmaktadır.
Ø FileCreate: Bir dosya oluşturulduğunda ya da mevcut bir dosyanın üzerinde değişiklik
yapıldığında olay loglarının oluşturulduğu bölümdür.
Ø RegistryEvent: Nesnelerin oluşturulması , silinmesi (Registry Üzerinden) gibi olayların
loglanmasını sağlayan bölümdür. Kayıt defteri (Registry) üzerinde oluşan her türlü değişiklik olay
loglarına kaydedilerek detaylı analizler yapılır.
Ø FileCreateStreamHash: Adlandırılmış bir dosya üzerinde akış gerçekleştiğinde ve hash değerleri
oluşturulduğunda olay loglarını oluşturan bölümdür.
Ø PipeEvent: Zararlı yazılımların süreçler arası iletişimlerini gözlemlemek için kullanışlıdır.
Adlandırılan ve bağlantı sağlanan şeklinde iki adet alt olay olarak incelenir ve olay logları
oluşturulur.
Ø WMIEvent: Windows Yönetim Araçlarında (WMI) meydana gelen değişikliklerin loglanarak
incelenmesini sağlayan bölümdür.
En alt bölümde loglanan XML dosyalarının Hash yöntemleri tercih edilerek uygulanabilir ya da
öncesinde önizlemeyle incelenebilir.
En soldaki sekmede "Logs Export" bölümünde, kolayca ve hızlı bir şekilde Sysmon olay logları XML
formatında sisteme kaydedilebilir. Kaydedilen bu log dosyası Sysmon View aracı sayesinde detaylı
olarak analiz edilebilir. Sisteme kaydetme seçeneği 3 farklı şekildedir:
Ø Export Only: Yalnızca dışa aktarııp, kaydet.
12. GİZLİ 12
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
Ø Export and Clear Sysmon Event Log: Dışa aktarıp kaydet ve Sysmon olay loglarını temizle.
Ø Export, Backup EVTX File and Clear The Event Log: Dışa aktarıp kaydet, EVTX dosyasıyla
yedekleme al ve Sysmon olay loglarını temizle.
EVTX dosyası, Windows 7 işletim sistemiyle birlikte kullanılan Event Log (Olay Görüntüleyicisi)
dosya tipidir. Binary formatındadır.
Sysmon Shell aracında, farklı güvenlik uzmanları tarafından oluşturulan birçok Sysmon
yapılandırma taslağı kullanılmaktadır. Templates sekmesi altında ilgili taslaklara ulaşılabilir.
13. GİZLİ 13
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
Sysmon Shell aracı kullanarak oluşturulan kurallar XML formatında kaydedilmektedir. Açıklanan
sekmeler üzerinden "Condition" bölümünde gerekli olan loglama kuralları ve şartları oluşturulmaktadır.
Oluşturulan şartlara isim verilir, kural ismi verilir. Belirtilen şartlar:
Ø UTC Time: Evrensel zaman göre kurallar oluşturulabilir.
Ø ProcessGUID: Süreç GUID değerine göre kurallar oluşturulabilir.
Ø ProcessID: Sürecin ID değerine göre kurallar oluşturulabilir.
Ø Image: Imajlar için yani örneğin çalıştırılabilir programlar için kurallar oluşturulabilir.
Ø File Version: Dosya versiyonuna yönelik kurallar oluşturulabilir.
Ø Description: Belirtilen açıklamaya yönelik kurallar oluşturulabilir.
Ø Product: Belirtilen ürüne göre kurallar oluşturulabilir.
Ø Company: Belirtilen firmaya göre kurallar oluşturulabilir.
Ø Command Line: Komut satırında çalıştırılan komutlara yönelik kurallar oluşturulabilir.
Ø Current Directory: Belirtilen dizin içerisindeki olaylara yönelik kurallar oluşturulabilir.
Ø User: Belirtilen kullanıcıya yönelik kurallar oluşturulabilir.
Ø Logon GUID: Oturum açma GUID değerine göre kurallar oluşturulabilir.
Ø Logon ID: Oturum ama ID değerine göre kurallar oluşturulabilir.
Ø Terminal Session ID: Terminalde açılan oturumun ID değerine göre kurallar oluşturulabilir.
Ø Integrity Level: Bütünlük seviyesine uygun olacak şekilde kurallar oluşturulabilir.
Ø Hashes: Hash değerlerine yönelik kurallar oluşturulabilir.
14. GİZLİ 14
PRİSMA BİLİŞİM A.Ş. | www.prismacsi.com | info@prismacsi.com | 0850 303 8535
Ø Parent Process GUID, ID: Ana sürece yönelik GUID veya ID değerlerine göre kurallar
oluşturulabilir.
Ø Parent Image: Ana süreç ismine (imajına) yönelik kurallar oluşturulabilir.
Ø Parent Command Line: Ana süreçte gerçekleşen komut satırına yönelik kurallar oluşturulabilir.
Belirtilen koşullara kullanıcı tarafından açıklama da yazılabilir (Rule Name). Oluşturulan loglama
koşulları include / exclude (dahil etme / dahil etmeme) olarak ayarlanabilir. Oluşturulan log koşullarına
ait XML dosya içerikleri oluşturulur. Ara yüzün en altında XML formatındaki içerikler görüntülenir ve
uygulanır. Oluşturulan loglama tercihleri sisteme kaydedilir ve Sysmon View aracı ile detaylı olarak
analiz yapılır.
4 Sonuç
Sysmon verilerini detaylı olarak inceleyerek analiz edilmesini sağlayan araçlar sayesinde sistemde
oluşabilecek zararlı faaliyetler, zafiyetler görsel ortamda sınıflandırılmış halde kolayca incelenebilir.
Kullanıcılar sistemde loglanacak kuralları oluşturabilir. Geniş ağlarda bu kurallar sayesinde sistem ve ağ
güvenliği bütünü Sysmon View, Sysmon Shell gibi araçlarla sağlanır.