Sysmon 10 Sürümü ile Son Kullanıcı Güvenliği için Önemli bir Özellik – DNS Loglama

11 Haziran 2019 tarihi itibari ile Sysmon 10.0 sürümü yayınlandı. Sysmon veya Türkçe açılımı ile Sistem Monitörü, Bir servis olarak yüklenebilen ve bu sayede Windows işletim sistemi üzerindeki çeşitli olayları ve bilgileri Windows olay günlüklerine kaydedebilen bir  Sysinternals aracıdır.

Sysinternals kelimesi de size yabancı ise onuda hızlıca özetlemek isterim.

Sysinternals, Windows sistemlerinizi ve uygulamalarınızı yönetmenize, sorun gidermenize ve teşhis etmenize yardımcı olacak yardımcı programların bütününe verilen isimdir.

https://docs.microsoft.com/en-us/sysinternals

Bu yeni sürümde bizlerin dikkatini çeken en önemli özellik DNS olaylarının da artık kayıt altına alınabilmesi.

Event ID 22 olarak aşağıdaki gibi göreceğiniz olay günlüğü kayıdı sayesinde DNS sorgularının kimin tarafından yani hangi process tarafından yapıldığı detayına kadar artık olay günlüğünde görebileceğiz.

Tabi bu konuyu yakından takip edenler aslında bu yeni özelliğin istemci güvenliği için ne kadar önemli olduğunu çok iyi bilir. Malum günümüz EDR sistemlerinin popülerliği düşünülür ise sysmon ile neler yapabileceğiniz konusunda güzel bir örnek vermek istiyorum;

https://medium.com/@olafhartong/endpoint-detection-superpowers-on-the-cheap-part-1-e9c28201ac47

Kaynak;

https://medium.com/@olafhartong/sysmon-10-0-new-features-and-changes-e82106f2e00