11 Haziran 2019 tarihi itibari ile Sysmon 10.0 sürümü yayınlandı. Sysmon veya Türkçe açılımı ile Sistem Monitörü, Bir servis olarak yüklenebilen ve bu sayede Windows işletim sistemi üzerindeki çeşitli olayları ve bilgileri Windows olay günlüklerine kaydedebilen bir Sysinternals aracıdır.
Sysinternals kelimesi de size yabancı ise onuda hızlıca özetlemek isterim.
Sysinternals, Windows sistemlerinizi ve uygulamalarınızı yönetmenize, sorun gidermenize ve teşhis etmenize yardımcı olacak yardımcı programların bütününe verilen isimdir.
https://docs.microsoft.com/en-us/sysinternals
Bu yeni sürümde bizlerin dikkatini çeken en önemli özellik DNS olaylarının da artık kayıt altına alınabilmesi.
Event ID 22 olarak aşağıdaki gibi göreceğiniz olay günlüğü kayıdı sayesinde DNS sorgularının kimin tarafından yani hangi process tarafından yapıldığı detayına kadar artık olay günlüğünde görebileceğiz.
Tabi bu konuyu yakından takip edenler aslında bu yeni özelliğin istemci güvenliği için ne kadar önemli olduğunu çok iyi bilir. Malum günümüz EDR sistemlerinin popülerliği düşünülür ise sysmon ile neler yapabileceğiniz konusunda güzel bir örnek vermek istiyorum;
https://medium.com/@olafhartong/endpoint-detection-superpowers-on-the-cheap-part-1-e9c28201ac47
Kaynak;
https://medium.com/@olafhartong/sysmon-10-0-new-features-and-changes-e82106f2e00