Microsoft’tan Sysmon ile Gelişmiş Güvenlik
Microsoft, bu yılın başlarında, Sysinternals araçlarının kendisini Windows 11 ve Windows Server 2025’e entegre etme kararı aldığını duyurdu. Bu gelişme, Sysmon’un gereksiz hale gelmesine ve Windows kullanıcılarının daha akıcı bir deneyim yaşamasına yol açacak.
Sysmon Nedir?
Sysmon (System Monitor), Microsoft’un ücretsiz bir Sysinternals aracıdır. Bu araç, kötü niyetli veya şüpheli etkinlikleri izlemek ve bu olayları Windows Olay Günlüğü’ne kaydetmek için yapılandırılabilir. Varsayılan olarak, Sysmon temel olayları izler, ancak gelişmiş yapılandırma dosyaları ile daha karmaşık süreçleri de takip etmek mümkündür. Örneğin, süreç değiştirme, DNS sorguları ve dosya oluşturma aktivitelerini izleyebilir.
Neden Sysmon’u Kullanmalısınız?
Sysmon, tehdit avlama ve Windows’taki kalıcı sorunların tanımlanmasında popüler bir araçtır. Ancak, genellikle cihazlara bireysel olarak kurulum gerektirdiği için yönetimi zordur. Microsoft’un Sysmon’u Windows’un içine entegre etmesi, yönetimi büyük ölçüde kolaylaştıracak ve kapsamı artıracaktır.
Artık Sysmon, Windows 11’in “Opsiyonel özellikler” ayarları aracılığıyla kolayca kurulabilir. Ayrıca, yazılım güncellemeleri de Windows Update üzerinden alınarak yönetim sürecini pratik hale getirecektir.
Sysmon Kurulumu ve Kullanımı
Sysmon’un kurulumu oldukça basit. İlk olarak, yönetici olarak Komut İstemi’ni açmak gerekir. Temel izleme için aşağıdaki komut kullanılır:
bash
sysmon -i
Eğer özel bir yapılandırma dosyası kullanarak daha gelişmiş bir izleme yapmak isterseniz, şu komutla kullanabilirsiniz:
bash
sysmon -i <yapılandırma_dosya_adı>
Örneğin, yeni yürütülebilir dosyaların C:ProgramData ve C:Users dizinlerinde oluşturulmasını kaydetmek isterseniz, aşağıdaki yapılandırma dosyasını kullanabilirsiniz:
xml
Sysmon’un Kayıt Altına Aldığı Olaylar
Sysmon, birçok önemli olayı kaydeder. İşte bazıları:
- Event ID 1: Süreç Oluşturma
- Event ID 3: Ağ Bağlantısı
- Event ID 8: Süreç Erişimi
- Event ID 11: Dosya Oluşturma
- Event ID 25: Süreç Değiştirme
- Event ID 20 & 21: WMI Olayları
Microsoft, Sysmon’un sunduğu yeniliklerle uyumlu şekilde, önümüzdeki yıl kapsamlı belgeler ve yeni kurumsal yönetim özellikleri sunmayı taahhüt etti.
Sonuç
Sysmon’un Windows 11 ve Server 2025 ile entegre edilmesi, güvenlik izleme süreçlerini büyük ölçüde geliştirecektir. Hem bağımsız olarak kullanılabilir hem de mevcut sistemlerde kolayca entegre edilebilmesi ile güvenlik profesyonellerine değerli bir araç sunmaktadır. Eğer hemen denemek isterseniz, Sysinternals web sitesinden aracı indirip kullanabilirsiniz. Sysmon ile güvenlik düzeyinizi artırmanız hiç de zor olmayacak!
