System Monitor (Sysmon)

System Monitor (Sysmon), bir sisteme yüklendikten sonra, system reboot olaylarının izlenmesi (monitoring) ve sistem aktivite loglarının Windows event log’a yazılmasını sağlayan bir Windows sistem servisi ve aygıt sürücüsüdür. İşlemler (process creations), ağ bağlantıları (network connections) ve bir dosyanın yaratılma zamanındaki değişiklik (timestamps) gibi bir çok konuda detaylı olarak bilgi edinebilmeyi sağlar.

Windows Event Collection veya SIEM agent kullanarak oluşan olayları toplayıp, daha sonra bunları analiz ederek kötü amaçlı veya anormal etkinlikleri belirleyebilirsiniz. Ek olarak ise izinsiz girişlerin ve kötü amaçlı yazılımların ağınızda nasıl çalıştığını anlayabilirsiniz.

Not#1: Sysmon, gerçekleşen olaylarda bir analiz yapmaz ve kendisini zararlı kişiden korumaya ya da gizlemeye çalışmaz.

Sysmon Genel Bakış

  • Current ve parent (üst) process’ler için full komut satırı loglama yapar.
  • SHA1 (varsayılan), MD5, SHA256 veya IMPHASH kullanarak işlem görüntüsü dosyalarının (process image files) hash değerini kaydeder.
  • Birden çok hash eş zamanlı olarak kullanılabilir.
  • Windows process ID’leri yeniden kullandığında, olay korelasyonuna izin vermek için process create olayları bir process GUID’i içerir.
  • Aynı logon oturumunda olay korelasyonuna izin vermek için, her olay bir session GUID’i içerir.
  • Sürücüleri veya DLL dosyalarını, imzaları ve hash’leri ile birlikte yükler.
  • Diskler ve hacim ham okuma erişimi için loglama yapar.
  • İsteğe bağlı olarak, her bağlantının kaynak process, IP adresleri, port numaraları, ana makine adları ve port adları da dahil olmak üzere loglama yapar.
  • Bir dosyanın gerçekten oluşturulduğunu anlamak için dosya oluşturma süresindeki değişiklikleri algılar. Dosya oluşturma timestamps değişiklikleri, kötü amaçlı yazılım tarafından yaygın olarak kullanılan bir tekniktir.
  • Eğer Registry değerleri değiştirilirse, otomatik olarak yeniden yükler.
  • Kural filtreleme özelliği vardır (Include ya da Exclude).
  • Kernel-mode zararlı yazılımlarının tespitinde boot öncesi olaylar oluşturur ve loglar.

Kullanım

Install: Sysmon.exe -i <configfile>
[-h <[sha1|md5|sha256|imphash|*],…>] [-n [<process,…>]]
[-l (<process,…>)]

Configure:  Sysmon.exe -c <configfile>
[–|[-h <[sha1|md5|sha256|imphash|*],…>] [-n [<process,…>]]
[-l [<process,…>]]]

Uninstall:  Sysmon.exe -u

Vista+ sistemlerde olaylar “Applications and Services Logs/Microsoft/Windows/Sysmon/Operational”altında kaydedilmektedir. Eski sistemlerde ise System event log’a yazılmaktadır. Timestamps UTC standard zamandır.

Bazı örnekler aşağıdadır;

Install with default settings (process images hashed with sha1 and no network monitoring)
sysmon -accepteula –i

Install with md5 and sha256 hashing of process created and monitoring network connections
sysmon -accepteula –i –h md5,sha256 –n

Install Sysmon with a configuration file

sysmon –accepteula –i c:\windows\config.xml

Konfigurasyon dosyası, bir konfigürasyon uygulamak ya da bir filter yazarken işinizi kolaylaştıracaktır. Parametre kullanımına, Event ID detaylarına ve daha fazla bilgiye Kaynak linkinden erişebilirsiniz.

Kaynak