Microsoft’ın Sysmon Entegrasyonu: Windows 11 ve Server 2025’te Yeni Dönem
Microsoft, Sysmon’un artık Windows 11 ve Windows Server 2025’in yerel bir parçası haline geleceğini duyurdu. Bu durum, Sysinternals araçlarının bağımsız olarak dağıtımını gereksiz kılacak. Özellikle büyük IT ortamlarında Sysmon’un bu şekilde entegrasyonu, yönetim süreçlerini büyük ölçüde kolaylaştıracak.
Sysmon Nedir ve Ne İşe Yarar?
Sysmon, Microsoft’un Sysinternals koleksiyonu içinde yer alan bir sistem izleme aracıdır. Ücretsiz olarak sunulan bu araç, zararlı ve şüpheli aktivitelerin izlenmesi ve loglanmasını sağlar. Normalde, Sysmon sadece temel olayları, yani süreç oluşturma ve sonlandırma gibi olayları izler. Ancak, gelişmiş yapılandırma dosyalarıyla, DNS sorguları ve süreç ayarlamaları gibi daha karmaşık işlemleri izlemek de mümkündür.
Yerel Destekle Gelen Kolaylıklar
Sysmon’un artık Windows’a entegrasyonu, yöneticilerin aracı Windows 11’in “Opsiyonel özellikler” ayarları üzerinden kolayca yüklemelerine olanak tanıyacak. Bu, sistem güncellemeleri ile birlikte sürekli yeni yazılım güncellemeleri almayı sağlayarak yönetimi daha da kolaylaştıracaktır. Microsoft, Sysmon’un varsayılan özellik kümesini koruyacağını ve özelleştirilebilir yapılandırma dosyaları ile gelişmiş olay filtreleme desteği sunacağını belirtti.
Sysmon’un Kurulumu ve Kullanım Örnekleri
Sysmon kurulduktan sonra, Command Prompt aracılığıyla basit izleme için şu komut kullanılabilir:
sysmon -iDaha gelişmiş izleme için özel bir yapılandırma dosyası ile kullanım ise şu şekilde olmaktadır:
sysmon -i Örneğin, C:ProgramData ve C:Users klasörlerinde yeni oluşturulan yürütülebilir dosyaları kaydetmek isterseniz, şu yapılandırma dosyasını kullanabilirsiniz:
MD5,SHA256
C:ProgramData
C:Users
Böylelikle, artık belirtilen dizinlerde yeni bir yürütülebilir dosya oluşturulduğunda, Windows bu durumu Event Logs’a kaydedecektir.
Sysmon’un Logladığı Önemli Olaylar
Sysmon’un logladığı diğer popüler olaylar şunlardır:
- Olay ID 1 – Süreç Oluşturma: Şüpheli komut satırı aktivitelerini tespit etmek için faydalıdır.
- Olay ID 3 – Ağ Bağlantısı: Anomalilerin tespiti veya C2 aktivitesi için dış bağlantıları kaydeder.
- Olay ID 8 – Süreç Erişimi: Kimlik bilgisi dökümü için LSASS’a erişim girişimlerini açığa çıkarabilir.
- Olay ID 11 – Dosya Oluşturma: Malware sahnelemesinde sıklıkla kullanılan betik dosyası üretimini izler.
- Olay ID 25 – Süreç Ayarlama: Süreç boşaltma ve diğer kaçınma tekniklerini tespit etmeye yardımcı olur.
- Olay ID’leri 20 ve 21 – WMI Olayları: WMI tüketicileri ve filtreleri aracılığıyla sürekli aktiviteleri kaydeder.
Gelecekte Beklenen Yenilikler
Microsoft, 2024’te Sysmon ile ilgili kapsamlı bir dokümantasyon sunmayı ve yeni kurumsal yönetim özellikleri ile yapay zeka destekli tehdit tespit yetenekleri eklemeyi planlıyor. Böylelikle Sysmon, hem bireysel kullanıcılar hem de kurumsal yapılar için daha verimli bir izleme aracı haline gelecektir.
Sysmon’u mevcut ortamınızda test etmek veya dağıtmak için Sysinternals sitesini ziyaret edebilir veya SwiftOnSecurity’in örnek yapılandırmasını inceleyebilirsiniz.
