Windows 11’e Yerel Sysmon Entegrasyonu: Güvenlikte Yeni Dönem

Microsoft, yeni Windows 11 Insider-Build (23300.7733) ile Sysmon sistem monitörünü işletim sistemine yerel olarak entegre etti. Daha önce manuel indirme ve kurulum gerektiren Sysmon, artık Windows 11’de hazır durumda bulunuyor ve yalnızca ayarlardan etkinleştirilmesi gerekiyor.

Secure by Design Prensibi

Yerel entegrasyon, Windows 11’i “Secure by Design” yaklaşımıyla daha güvenli hale getirmeyi amaçlıyor. Sysmon, sistem yöneticileri ve güvenlik uzmanları için işletim sisteminin davranışlarını ayrıntılı şekilde takip etmeye olanak tanıyor.

Nasıl Etkinleştirilir?

Kullanıcılar Sysmon’u isteğe bağlı özellikler menüsünden “Daha fazla Windows özelliği” alt seçeneğiyle etkinleştirebiliyor. Alternatif olarak komut satırında şu komut kullanılabiliyor:
Dism /Online /Enable-Feature /FeatureName:Sysmon

Sysmon’un Sağladığı Veriler

Sysmon, işletim sisteminde birçok kritik bilgiyi kaydediyor:

• Süreç oluşturma geçmişi
• IP adresleri ve ana bilgisayar adları
• Hizmetler ve istemci bağlantı noktaları
• Fiziksel sürücülere okuma erişimleri
• Sürücü ve DLL yüklemeleri

Bu veriler scriptler aracılığıyla kolayca alınabilir ve analiz edilebilir.

Event-ID’ler ile Davranış Analizi

Sysmon, olayları farklı Event-ID’ler altında kategorize eder:

• Event ID 1: Şüpheli süreç oluşturulması
• Event ID 3: Beklenmedik dış ağ bağlantıları
• DNS sorguları ve yapılandırma değişiklikleri

Microsoft, süreç kimlikleri ve komut satırı örneklerini belgelerinde sunarak yöneticilerin Windows Terminal veya Powershell için kendi scriptlerini geliştirmesine imkan tanıyor.

Sysmon’un Windows 11’e yerel entegrasyonu, güvenlik uzmanları için daha güçlü bir izleme ve analiz altyapısı sunarken, işletim sisteminin güvenlik mimarisini de ileriye taşıyor.