GPO ile 64-32 bit Sysmon kurulumu ve dağıtımı için ön koşullarımız şu şekildedir. İlk olarak Sysinternals arşivinden son sürümü indiriyoruz. Sonrasında Sysmon konfigürasyon dosyasına ihtiyacımız olacak.
Sysmon Kurulumu İçin Batch File Oluşturmak
Önce her domain client’ının erişebileceği domain klasörüne batch dosyası oluşturuyoruz. Bu dosya her zaman C: \ Windows’a yazacak ve yapılandırma dosyasının yerini alacaktır.
Sysmon.bat içeriği;
copy /z /y ” \\domain.com\apps\sysmon.xml”” C:\windows\”
sysmon -c c:\windows\config.xmlsc query “Sysmon” | Find “RUNNING”
If “%ERRORLEVEL%” EQU “1” (
goto startsysmon
)
:startsysmon
net start Sysmon
If “%ERRORLEVEL%” EQU “1” (
goto installsysmon
)
:installsysmon
echo Check operating system …if defined PROGRAMFILES(X86) (
echo 64-bit sytem detectedinstalling 64bit sysmon
“\\domain.com\apps\sysmon64.exe” /accepteula -ic:\windows\sysmon.xml
) else (
echo 32-bit sytem detected
“\\domain.com\apps\sysmon.exe” /accepteula -ic:\ windows\sysmon.xml
)
pause
Bu batch scripti sistemin 64 bit ya da 32 bit olduğunu tespit edecek ve ona göre farklı sysmon kurulum dosyalarını çağıracaktır. Konfigürasyon dosyası aynı şekildedir.
GPO ile 64-32 Bit Sysmon Kurulumu ve Dağıtımı
Domain Üzerinde Bir Klasör Oluşturun ve Aşağıdaki Dosyaları Kopyalayın
- sysmon.bat
- sysmon.exe
- sysmon.xml
Batch dosyası üzerinde domain alanınızı ve girdiğiniz dizini unutmayınız!
Önkoşulları tamamladıktan sonra aşağıdaki şekilde kuruluma devam ediyoruz.
Zamanlanmış Bir Görev Oluşturma
Grup Policy yardımcı programınızı başlatın ve aşağıdakileri gerçekleştirin:
Domain OU’ya sağ tıklayın, (Create GPO in this domain) ve bu etki alanında GPO oluşturun. Sonrasında buraya bağlayın. Bir isim belirleyin (Sysmon Dağıtımı), Tamam’abasın. Yeni oluşturulan GPO Sysmon dağıtımınızı sağ tıklatın ve düzenleyi seçin. Bilgisayar yapılandırması> Tercihler>Zamanlanmış Görevler’e gidin. Zamanlanmış görevler üzerine sağ tıklayın ve zamanlanmış görevleri tıklayın.
General Tabına gelin ve alttakileri takip edin!
Trigger Tab’a tıklayın ve on New seçin.
Bittiğinde Tamam’a basın ve işlemi sonlandırın.
Bu, sysmon yapılandırmanızı her saat saat 7:30’dan sonra saat 7: 30’a kadar kontrol edecek ve sysmon yapılandırmanızda değişiklikler yapmayı düşündüğünüzde saatlerinize ayarlayacaktır. Tüm istemcilerin sysmon yapılandırmasının güncellenmiş bir sürümünü sürekli olarak kontrol etmesini sağlayacaktır. Yüzlerce veya binlerce sisteminiz olduğunda bu özellik çok yararlıdır ve aynı yapılandırma dosyasını dağıtmak için bu çözüme ihtiyacınız olacaktır.
İsteğe Bağlı Adım;
İsteğe bağlı olarak görevin çalıştırılmasına izin verin. (Bu oturum açtığınızda zamanlanmış görevin bir son nokta üzerinde el ile tetiklenmesine izin verir ve ilk sınamada yardımcı olur.