Sysmon v10 DNS Query Logging

Her fırsatta Sysmon kullanmanın önemini vurgulamaya çalışıyorum. 14 Nisan 2018 tarihinde yazmış olduğum yazıya buradaki linkten ulaşabilirsiniz [http://www.topcumert.com/system-monitor-sysmon/]. Microsoft tarafından 28 Haziran 2019 tarihinde Sysmon v10 yayımlandı ve en çarpıcı özellik olan DNS Query Logging özelliği bu sürümün içerisine eklenmiş oldu.

DNS Query Logging default olarak disable durumda geliyor. Enable etmek içinse yapmanız gereken, sysmon_dnsquery.xml (ya da kendi vereceğiniz bir isim) adında bir dosya yaratmanız ve aşağıdaki içerikle dosyayı kaydetmeniz.

<Sysmon schemaversion=”4.21″>

 <EventFiltering>

  <DnsQuery onmatch=”exclude” />

 </EventFiltering>

</Sysmon>

Daha sonrasında ise aşağıdaki komutu Command Prompt üzerinden çalıştırıp DNS Query Logging’i enable ediyorsunuz.

Sysmon.exe -c sysmon_dnsquery.xml

Artık Eventviewer’dan EventID:22 olan olayları takip edebilirsiniz.

Not #1: Sysmon çok fazla noise event yapmaktadır. Dolayısıyla nasıl konfigure ettiğiniz büyük önem arz etmektedir.

Not #2: Active Directory DNS içerisinden de, Debug DNS Logging özelliğini aktifleştirerek DNS Query Loglarına erişebilirsiniz. Ancak bu tek bir dosya olduğundan ve dosya üzerine yeni veriler yazılmadan logları okumanız gerektiğinden biraz daha zahmetli bir iş.

DNS Query loglarını SIEM’e yönlendirmeniz, çeşitli korele kurallar tanımlamanız size oldukça fayda sağlayacaktır. Bir başka güzellik ise, SIEM’den yapacağınız monitoring sayesinde Firewall’dan ilgili hostname’lere allow-deny kuralları tanımlayabilir, network trafiğinizi analiz edebilirsiniz.

Kaynak