# Olay Günlüğü Tutma

Günlükler, Wazuh aracılarından, harici API'lerden ve ağ cihazlarından alınan ham olaylardır. Wazuh sunucusu tüm günlükleri süresiz olarak depolar. Alan optimizasyonunu en üst düzeye çıkarmak için Wazuh yöneticisi günlük dosyalarını otomatik olarak sıkıştırır.

Wazuh, iki tür günlüğü yönetir, Wazuh sunucusundan gelen dahili günlükler ve izlenen uç noktalardan gelen harici günlükler. Bu günlükler `<span class="pre">/var/ossec/logs/</span>`Wazuh sunucusunun dizininde süresiz olarak saklanır.

Aşağıdaki tabloda Wazuh sunucusundaki günlük dosyaları ve bunların saklanma yerleri açıklanmaktadır.

<table class="docutils align-default" id="bkmrk-g%C3%BCnl%C3%BCk-depolama-dosy" style="width: 103.58%;"><thead><tr class="row-odd"><th class="head" style="width: 37.2218%;">Günlük depolama dosyası

</th><th class="head" style="width: 17.4394%;">Günlük kaynağı

</th><th class="head" style="width: 45.3801%;">Tanım

</th></tr></thead><tbody><tr class="row-even"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/ossec.log</span>`

</td><td style="width: 17.4394%;">Dahili

</td><td style="width: 45.3801%;">Wazuh sunucusu tarafından oluşturulan tüm bilgi düzeyindeki günlükleri depolar.

</td></tr><tr class="row-odd"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/api.log</span>`

</td><td style="width: 17.4394%;">Dahili

</td><td style="width: 45.3801%;">Wazuh uygulamasının Wazuh sunucu API'leriyle etkileşimi sırasında oluşturulan günlükleri depolar.

</td></tr><tr class="row-even"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/cluster.log</span>`

</td><td style="width: 17.4394%;">Dahili

</td><td style="width: 45.3801%;">Wazuh kümesinin faaliyetleri tarafından oluşturulan günlükleri depolar.

</td></tr><tr class="row-odd"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/integrations.log</span>`

</td><td style="width: 17.4394%;">Dahili

</td><td style="width: 45.3801%;">Üçüncü taraf uygulamalar ve sistemlerle arayüz oluştururken Wazuh entegrasyon modülü tarafından oluşturulan günlükleri depolar.

</td></tr><tr class="row-even"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/active-responses.log</span>`

</td><td style="width: 17.4394%;">Dahili

</td><td style="width: 45.3801%;">Wazuh Active Response modülü tarafından oluşturulan günlükleri depolar.

</td></tr><tr class="row-odd"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/firewall/firewall.log</span>`

</td><td style="width: 17.4394%;">Dahili

</td><td style="width: 45.3801%;">Güvenlik duvarı tarafından oluşturulan günlükleri depolar.

</td></tr><tr class="row-even"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/archives/archives.log</span>`

</td><td style="width: 17.4394%;">Harici

</td><td style="width: 45.3801%;">Üçüncü taraf uygulama ve sistemlerden alınan günlükleri düz metin olarak depolar.

</td></tr><tr class="row-odd"><td style="width: 37.2218%;">`<span class="pre">/var/ossec/logs/archives/archives.json</span>`

</td><td style="width: 17.4394%;">Harici

</td><td style="width: 45.3801%;">Üçüncü taraf uygulamalardan ve sistemlerden alınan günlükleri JSON biçiminde depolar.

</td></tr></tbody></table>

<section id="bkmrk-g%C3%BCnl%C3%BCk-s%C4%B1k%C4%B1%C5%9Ft%C4%B1rma-ve">### Günlük Sıkıştırma ve Döndürme

Günlük dosyaları bir sistemde önemli disk alanı biriktirebilir ve tüketebilir. Bunu önlemek için Wazuh yöneticisi, günlükleri döndürme işlemi sırasında sıkıştırarak disk kullanımını verimli bir şekilde yönetmeye ve sistem performansını korumaya yardımcı olur. Wazuh yöneticisi günlük dosyalarını günlük olarak veya belirli bir eşiğe (dosya boyutu, yaş, zaman ve daha fazlası) ulaştıklarında sıkıştırır ve arşivler. Günlük döndürme işleminde Wazuh, sürekli olarak yeni olaylar yazmak için orijinal adla yeni bir günlük dosyası oluşturur.

`<span class="pre">/var/ossec/logs/</span>`Günlük dosyaları günlük olarak sıkıştırılır ve MD5, SHA1 ve SHA256 karma algoritmaları kullanılarak dijital olarak imzalanır. Sıkıştırılmış günlük dosyaları, aşağıdaki biçime göre isimler taşıyan iç içe dizinler içindeki dizinde saklanır :

- Orijinal günlük dosyasının adını belirten .`<span class="pre">log</span> <span class="pre">file</span> <span class="pre">name</span>`
- `<span class="pre">year</span>`İçinde bulunulan yılın adını belirten .
- `<span class="pre">month</span>`Yılın o anki ayının adını belirten .

Örneğin, `<span class="pre">/var/ossec/logs/archives/archives.log</span>`sıkıştırılmış bir dosya dizinde saklanır . Aşağıdaki komutu çalıştırarak dizinin içeriğini görebilirsiniz:`<span class="pre">13th</span> <span class="pre">APR,</span> <span class="pre">2024</span>``<span class="pre">…/archives/2024/Apr/</span>`

```
ls -la /var/ossec/logs/archives/2024/Apr/
```

<div aria-expanded="true" class="output highlight-none notranslate collapsible expanded"><div class="output-title" role="button">**Output**</div></div>```
total 0
drwxr-x--- 2 wazuh wazuh 62 Apr 17 08:15 .
drwxr-x--- 4 wazuh wazuh 28 Apr 12 07:30 ..
-rw-r----- 1 wazuh wazuh  0 Apr 13 00:00 ossec-archive-13.log.gz
-rw-r----- 1 wazuh wazuh  0 Apr 13 00:00 ossec-archive-13.log.sum
```

Yukarıdaki çıktıda görüldüğü gibi, sıkıştırılmış dosyanın adına ve onun sağlama toplamına sırasıyla dize ve sonek eklenir.  
  
Yukarıdaki çıktıda görüldüğü gibi, sıkıştırılmış dosyanın adının ve sağlama toplamının başına `<span class="pre">ossec</span>` dizesi ve `<span class="pre">day</span> <span class="pre">of</span> <span class="pre">the</span> <span class="pre">current</span> <span class="pre">month</span>` son eki sırasıyla eklenir ve eklenir.

İhtiyaçlarınıza bağlı olarak, sıkıştırılmış dosyaları belirli bir süre sonra kaldırılmak üzere yapılandırabilirsiniz. Ayrıca, daha uzun süreli saklama için günlük yönetim sistemlerine, yedekleme sunucularına veya bulut tabanlı depolama aygıtlarına taşıyabilirsiniz.

</section><section id="bkmrk-olay-g%C3%BCnl%C3%BCklerinin-a"><span id="bkmrk-"></span>### Olay Günlüklerinin Arşivlenmesi

Olaylar, uygulamalar, uç noktalar ve ağ cihazları tarafından oluşturulan günlüklerdir. Wazuh sunucusu, bir kuralı tetikleyip tetiklemediklerine bakılmaksızın aldığı tüm olayları depolar. Bu olaylar, `<span class="pre">/var/ossec/logs/archives/archives.log</span>`ve adresinde bulunan Wazuh arşivlerinde depolanır `<span class="pre">/var/ossec/logs/archives/archives.json</span>`. Güvenlik ekipleri, güvenlik olaylarının geçmiş verilerini incelemek, eğilimleri analiz etmek ve tehditleri avlamak için raporlar oluşturmak amacıyla arşivlenmiş günlükleri kullanır.

Varsayılan olarak, Wazuh arşivleri devre dışıdır çünkü günlükleri Wazuh sunucusunda süresiz olarak depolar. Etkinleştirildiğinde, Wazuh yöneticisi uyumluluk ve adli amaçlar için güvenlik verilerini depolamak ve saklamak üzere arşivlenmiş dosyalar oluşturur.

Not

<div class="admonition note"> </div>Wazuh arşivleri, izlenen tüm uç noktalardan toplanan günlükleri tutar, bu nedenle zamanla Wazuh sunucusunda önemli depolama kaynakları tüketir. Bu nedenle, bunları etkinleştirmeden önce disk alanı ve performans üzerindeki etkiyi göz önünde bulundurmak önemlidir.

<section id="bkmrk-ar%C5%9Fivlemeyi-etkinle%C5%9F">#### Arşivlemeyi Etkinleştirme

Wazuh sunucunuzda arşivlemeyi etkinleştirmek için aşağıdaki adımları izleyin.

1. Wazuh yöneticisi yapılandırma dosyasını düzenleyin `<span class="pre">/var/ossec/etc/ossec.conf</span>`ve aşağıda vurgulanan alanların değerini şu şekilde ayarlayın `<span class="pre">yes</span>`:
    
    ```
    <ossec_config>
      <global>
        <jsonout_output>yes</jsonout_output>
        <alerts_log>yes</alerts_log>
        <logall>yes</logall>
        <logall_json>yes</logall_json>
    
       ...
    </ossec_config>
    ```
    
    Nerede:
    
    
    - `<span class="pre"><logall></span>`tüm günlük iletilerinin arşivlenmesini etkinleştirir veya devre dışı bırakır. Etkinleştirildiğinde, Wazuh sunucusu günlükleri bir syslog biçiminde depolar. İzin verilen değerler `<span class="pre">yes</span>`ve ' dir `<span class="pre">no</span>`.
    - `<span class="pre"><logall_json></span>`olayların günlüğe kaydedilmesini etkinleştirir veya devre dışı bırakır. Etkinleştirildiğinde, Wazuh sunucusu olayları bir JSON biçiminde depolar. İzin verilen değerler `<span class="pre">yes</span>`ve ' dir `<span class="pre">no</span>`.
    
    İstediğiniz biçime bağlı olarak, vurgulanan alanlardan bir veya her iki değeri de olarak ayarlayabilirsiniz `<span class="pre">yes</span>`. Ancak, yalnızca bu `<span class="pre"><logall_json>yes</logall_json></span>`seçenek Wazuh panosundaki olayları görselleştirmek için kullanılabilecek bir dizin oluşturmanıza olanak tanır.
2. Yapılandırma değişikliklerini uygulamak için Wazuh yöneticisini yeniden başlatın:
    
    ```
    systemctl restart wazuh-manager
    ```

Seçtiğiniz formata bağlı olarak, dosya `<span class="pre">archives.log</span>`, , veya her ikisi de Wazuh sunucusundaki dizinde `<span class="pre">archives.json</span>`oluşturulacaktır .`<span class="pre">/var/ossec/logs/archives/</span>`

Wazuh varsayılan bir günlük döndürme politikası kullanır. Günlükleri günlük, aylık ve yıllık bazda döndürerek ve sıkıştırarak kullanılabilir disk alanının korunmasını sağlar.

</section><section id="bkmrk-g%C3%B6sterge-panelindeki">### Dashboard'daki Olayların Görselleştirilmesi

1. Filebeat yapılandırma dosyasını düzenleyin ve from `<span class="pre">/etc/filebeat/filebeat.yml</span>`değerini şu şekilde değiştirin :`<span class="pre">archives:</span> <span class="pre">enabled</span>``<span class="pre">false</span>``<span class="pre">true</span>`
    
    ```
    archives:
     enabled: true
    ```
2. Yapılandırma değişikliklerini uygulamak için Filebeat'i yeniden başlatın:
    
    ```
    systemctl restart filebeat
    ```

</section><section id="bkmrk-wazuh-g%C3%B6sterge-panel">### Wazuh Dashboard

1. Ana menüyü açmak için sol üst menü simgesine tıklayın. **Pano yönetimi'ni genişletin ve Pano yönetimi** &gt; **Dizin desenleri'ne** gidin . Sonra, **Dizin deseni oluştur'a** tıklayın . Dizin deseni adı olarak kullanın `<span class="pre">wazuh-archives-*</span>`ve **Zaman alanı** açılır listesinde `<span class="pre">timestamp</span>`ayarlayın .
    
    Aşağıdaki GIF, endeks deseninin nasıl oluşturulacağını göstermektedir.
    
    <div class="wazuh-image-wrapper align-center">![wazuh-archives-* dizin deseninin oluşturulması](https://documentation.wazuh.com/current/_images/creating-wazuh-archives-index-pattern1.gif)  
    </div>
2. Gösterge tablosundaki etkinlikleri görüntülemek için sol üst menü simgesine tıklayın ve **Keşfet'e** gidin . Dizin desenini olarak değiştirin `<span class="pre">wazuh-archives-*</span>`.
    
    <div class="wazuh-image-wrapper align-center">![Gösterge tablosunda etkinlikleri görüntüleyin](https://documentation.wazuh.com/current/_images/view-events-on-dashboard1.png)</div>

</section><section id="bkmrk-kullan%C4%B1m-durumu%3A-%C4%B0mz">#### Use Case: İmzalanmış İkili Proxy Yürütmeyi Algılama

`<span class="pre">T1218.010</span>`İmzalanmış ikili proxy yürütme, tehdit aktörlerinin kötü amaçlı kod çalıştırmak için güvenilir ikili dosyaları kullanarak uygulama beyaz listesini atlatmak için kullandıkları bir tekniktir. Bu teknik , MITRE ATT&amp;CK çerçevesine dayalı olarak tanımlanmıştır .

Bu kullanım örneğinde, `<span class="pre">regsvr32.exe</span>`uygulama denetimlerini atlatmak için Windows yardımcı programı 'nın nasıl kötüye kullanılacağını gösteriyoruz. Daha sonra bu teknikle ilgili şüpheli etkinliği tespit etmek için Wazuh arşivlerindeki olayları analiz ediyoruz.

<section id="bkmrk-windows-11-yap%C4%B1land%C4%B1">##### **Windows 11 Yapılandırması**

Windows 11 uç noktasına Sysmon ve Atomic Red Team'i (ART) yüklemek ve imzalanmış ikili proxy yürütme tekniğini taklit etmek için aşağıdaki adımları uygulayın.

<section id="bkmrk-sysmon-entegrasyonub">##### Sysmon Entegrasyonu

Windows 11 uç noktasına Sysmon'ı yüklemek ve yapılandırmak için aşağıdaki adımları uygulayın.

1. [Sysmon'ı Microsoft Sysinternals sayfasından](https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon) indirin .
2. Sysmon yapılandırma dosyasını indirin: [sysmonconfig.xml](https://wazuh.com/resources/blog/detecting-process-injection-with-wazuh/sysmonconfig.xml) .
3. İndirilen yapılandırma dosyasıyla PowerShell'i yönetici olarak kullanarak Sysmon'u yükleyin:
    
    ```
    > .\sysmon64.exe -accepteula -i .\sysmonconfig.xml
    ```
4. Sysmon günlüklerinin toplanacağı konumu belirtmek için `<span class="pre"><ossec_config></span>`Wazuh aracı dosyasına blok içinde aşağıdaki yapılandırmayı ekleyin :`<span class="pre">C:\Program</span> <span class="pre">Files</span> <span class="pre">(x86)\ossec-agent\ossec.conf<br></br></span>`
    
    ```
    <localfile>
      <location>Microsoft-Windows-Sysmon/Operational</location>
      <log_format>eventchannel</log_format>
    </localfile>
    ```
5. Değişiklikleri uygulamak için Wazuh aracısını yeniden başlatın ve aşağıdaki PowerShell komutunu yönetici olarak çalıştırın:
    
    ```
    > Restart-Service -Name Wazuh
    ```

<section id="bkmrk-atomic-red-team-kuru">##### Atomic Red Team Kurulumu

PowerShell'i yönetici olarak kullanarak Windows 11 uç noktasına Atomic Red Team PowerShell modülünü yüklemek için aşağıdaki adımları uygulayın.

1. Varsayılan olarak, PowerShell çalışan betiklerin yürütülmesini kısıtlar. Varsayılan yürütme politikasını şu şekilde değiştirmek için aşağıdaki komutu çalıştırın `<span class="pre">RemoteSigned</span>`:
    
    ```
    > Set-ExecutionPolicy RemoteSigned
    ```
2. ART yürütme çerçevesini yükleyin:
    
    ```
    > IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing);
    > Install-AtomicRedTeam -getAtomics
    ```
3. Fonksiyonu kullanmak için ART modülünü içe aktarın `<span class="pre">Invoke-AtomicTest</span>`:
    
    ```
    > Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" -Force
    ```
4. `<span class="pre">Invoke-AtomicTest</span>`Tekniğin ayrıntılarını göstermek için fonksiyonu kullanın `<span class="pre">T1218.010</span>`:
    
    ```
    > Invoke-AtomicTest T1218.010 -ShowDetailsBrief
    ```
    
    <div aria-expanded="true" class="output highlight-none notranslate collapsible expanded"><div class="output-title" role="button">**Output**</div></div>```
    PathToAtomicsFolder = C:\AtomicRedTeam\atomics
    
    T1218.010-1 Regsvr32 local COM scriptlet execution
    T1218.010-2 Regsvr32 remote COM scriptlet execution
    T1218.010-3 Regsvr32 local DLL execution
    T1218.010-4 Regsvr32 Registering Non DLL
    T1218.010-5 Regsvr32 Silent DLL Install Call DllRegisterServer
    ```

</section></section><section id="bkmrk-sald%C4%B1r%C4%B1-em%C3%BClasyonubu">##### Saldırı Emülasyonu

Windows 11 uç noktasında imzalı ikili proxy yürütme tekniğini taklit edin.

1. Testi gerçekleştirmek için aşağıdaki komutu Powershell'i yönetici olarak çalıştırın `<span class="pre">T1218.010</span>`:
    
    ```
    > Invoke-AtomicTest T1218.010
    ```
    
    <div aria-expanded="true" class="output highlight-none notranslate collapsible expanded"><div class="output-title" role="button">**Output**</div></div>```
    PathToAtomicsFolder = C:\AtomicRedTeam\atomics
    
    Executing test: T1218.010-1 Regsvr32 local COM scriptlet execution
    Done executing test: T1218.010-1 Regsvr32 local COM scriptlet execution
    Executing test: T1218.010-2 Regsvr32 remote COM scriptlet execution
    Done executing test: T1218.010-2 Regsvr32 remote COM scriptlet execution
    Executing test: T1218.010-3 Regsvr32 local DLL execution
    Done executing test: T1218.010-3 Regsvr32 local DLL execution
    Executing test: T1218.010-4 Regsvr32 Registering Non DLL
    Done executing test: T1218.010-4 Regsvr32 Registering Non DLL
    Executing test: T1218.010-5 Regsvr32 Silent DLL Install Call DllRegisterServer
    Done executing test: T1218.010-5 Regsvr32 Silent DLL Install Call DllRegisterServer
    ```

Exploitin başarılı bir şekilde yürütülmesinin ardından birkaç hesap makinesi örneği açılacaktır.

</section><section id="bkmrk-wazuh-g%C3%B6sterge-panel-2">##### Wazuh Dashboard

Wazuh arşivlerini, avlanan teknikle ilgili olayları sorgulamak ve görüntülemek için kullanın. Arşivlere danışırken bazı olayların Wazuh panosunda uyarı olarak yakalanmış olabileceğini unutmamak önemlidir. Algılama yapılmayan uyarılar ve olaylar dahil olmak üzere Wazuh arşivlerinden gelen bilgileri kullanarak özel gereksinimlerinize göre özel kurallar oluşturabilirsiniz.

1. Testin gerçekleştirildiği son beş dakika içinde meydana gelen olayları görüntülemek için bir zaman aralığı filtresi uygulayın. `<span class="pre">agent.id</span>`, `<span class="pre">agent.ip</span>`veya kullanarak belirli Windows uç noktasından günlükleri görüntülemek için filtre uygulayın `<span class="pre">agent.name</span>`.
    
    <div class="wazuh-image-wrapper align-center">![Zaman aralığı filtresi uygulanıyor](https://documentation.wazuh.com/current/_images/applying-time-range-filter1.png)</div>  
    Daha önceki saldırı emülasyonuyla bir korelasyon belirlemek için inceleyebileceğiniz birden fazla isabet vardır. Örneğin, test sırasında Windows uç noktasında gözlemlenene benzer bir hesap makinesi oluşturma olayı fark edebilirsiniz.
    
    <div class="wazuh-image-wrapper align-center">![Hesap makinesi yumurtlama olayı](https://documentation.wazuh.com/current/_images/calculator-spawning-event1.png)  
    </div>
2. `<span class="pre">regsvr32</span>`Olaylarla ilgili işlemleri kolaylaştırmak ve araştırmak için arama çubuğuna yazın `<span class="pre">regsvr32</span>`.
    
    <div class="wazuh-image-wrapper align-center">![Filtre regsvr32](https://documentation.wazuh.com/current/_images/filter-regsvr321.png)  
    </div>
3. İlgili alanları görüntülemek için herhangi bir olayı genişletin.
    
    <div class="wazuh-image-wrapper align-center">![Etkinlikleri genişlet](https://documentation.wazuh.com/current/_images/expand-events1.png)  
    </div>
4. Arşivlenmiş günlüklerin JSON formatını görüntülemek için JSON sekmesine tıklayın.
    
    <div class="wazuh-image-wrapper align-center">![JSON sekmesi](https://documentation.wazuh.com/current/_images/json-tab1.png)</div>  
    Komutlar, hizmetler, yollar ve daha fazlası gibi etkinliklere ilişkin belirli ayrıntıları JSON günlüğünden çıkarabilir ve doğrulayabilirsiniz. Aşağıda, ilk işlem oluşturmayı ve yürütülen komutla ilgili öznitelikleri tanımlayabilirsiniz:
    
    ```
    "data": {
          "win": {
            "eventdata": {
              "originalFileName": "REGSVR32.EXE",
              "image": "C:\\\\Windows\\\\SysWOW64\\\\regsvr32.exe",
              "product": "Microsoft® Windows® Operating System",
              "parentProcessGuid": "{45cd4aff-35fc-6463-6903-000000001300}",
              "description": "Microsoft(C) Register Server",
              "logonGuid": "{45cd4aff-2ce5-6463-2543-290000000000}",
    
             "parentCommandLine": "C:\\\\Windows\\\\system32\\\\regsvr32.exe  /s /i C:\\\\AtomicRedTeam\\\\atomics\\\\T1218.010\\\\bin\\\\AllTheThingsx86.dll",
    
             "processGuid": "{45cd4aff-35fc-6463-6a03-000000001300}",
              "logonId": "0x294325",
              "parentProcessId": "7652",
              "processId": "4064",
              "currentDirectory": "C:\\\\Users\\\\THECOT~1\\\\AppData\\\\Local\\\\Temp\\\\",
              "utcTime": "2023-05-16 07:51:24.512",
              "hashes": "SHA1=8E2C6B7F92A560E0E856F8533D62A1B10797828F,MD5=5F7264BD237FAEA46FB240785B78AFAC,SHA256=D9BE711BE2BF88096BB91C25DF775D90B964264AB25EC49CF04711D8C1F089F6,IMPHASH=73F03653209E82368127EB826216A6AD",
              "parentImage": "C:\\\\Windows\\\\System32\\\\regsvr32.exe",
              "ruleName": "technique_id=T1117,technique_name=Regsvr32",
              "company": "Microsoft Corporation",
              "commandLine": "  /s /i C:\\\\AtomicRedTeam\\\\atomics\\\\T1218.010\\\\bin\\\\AllTheThingsx86.dll",
              "integrityLevel": "High",
              "fileVersion": "10.0.22621.1 (WinBuild.160101.0800)",
              "user": "Windows11\\\\Testuser",
              "terminalSessionId": "2",
              "parentUser": "Windows11\\\\Testuser"
            },
            "system": {
              "eventID": "1",
              "keywords": "0x8000000000000000",
              "providerGuid": "{5770385f-c22a-43e0-bf4c-06f5698ffbd9}",
              "level": "4",
              "channel": "Microsoft-Windows-Sysmon/Operational",
              "opcode": "0",
    
             "message": "\"Process Create:\r\nRuleName: technique_id=T1117,technique_name=Regsvr32\r\nUtcTime: 2023-05-16 07:51:24.512\r\nProcessGuid: {45cd4aff-35fc-6463-6a03-000000001300}\r\nProcessId: 4064\r\nImage: C:\\Windows\\SysWOW64\\regsvr32.exe\r\nFileVersion: 10.0.22621.1 (WinBuild.160101.0800)\r\nDescription: Microsoft(C) Register Server\r\nProduct: Microsoft® Windows® Operating System\r\nCompany: Microsoft Corporation\r\nOriginalFileName: REGSVR32.EXE\r\nCommandLine:   /s /i C:\\AtomicRedTeam\\atomics\\T1218.010\\bin\\AllTheThingsx86.dll\r\nCurrentDirectory: C:\\Users\\THECOT~1\\AppData\\Local\\Temp\\\r\nUser: Windows11\\Testuser\r\nLogonGuid: {45cd4aff-2ce5-6463-2543-290000000000}\r\nLogonId: 0x294325\r\nTerminalSessionId: 2\r\nIntegrityLevel: High\r\nHashes: SHA1=8E2C6B7F92A560E0E856F8533D62A1B10797828F,MD5=5F7264BD237FAEA46FB240785B78AFAC,SHA256=D9BE711BE2BF88096BB91C25DF775D90B964264AB25EC49CF04711D8C1F089F6,IMPHASH=73F03653209E82368127EB826216A6AD\r\nParentProcessGuid: {45cd4aff-35fc-6463-6903-000000001300}\r\nParentProcessId: 7652\r\nParentImage: C:\\Windows\\System32\\regsvr32.exe\r\nParentCommandLine: C:\\Windows\\system32\\regsvr32.exe  /s /i C:\\AtomicRedTeam\\atomics\\T1218.010\\bin\\AllTheThingsx86.dll\r\nParentUser: Windows11\\Testuser\"",
    
             "version": "5",
              "systemTime": "2023-05-16T07:51:24.5131006Z",
              "eventRecordID": "88509",
              "threadID": "3960",
              "computer": "Windows11",
              "task": "1",
              "processID": "3156",
              "severityValue": "INFORMATION",
              "providerName": "Microsoft-Windows-Sysmon"
            }
          }
        },
    ```
    
    Diğer ilgili olaylar üzerinde daha fazla araştırma yaparak, regsvr32 yardımcı programı tarafından oluşturulan bir işlem enjeksiyon olayını ve yüklenen görüntüyü görebilirsiniz:
    
    ```
    "data": {
          "win": {
            "eventdata": {
              "originalFileName": "mscoree.dll",
              "image": "C:\\\\Windows\\\\SysWOW64\\\\regsvr32.exe",
              "product": "Microsoft® Windows® Operating System",
              "signature": "Microsoft Windows",
    
             "imageLoaded": "C:\\\\Windows\\\\SysWOW64\\\\mscoree.dll",
    
             "description": "Microsoft .NET Runtime Execution Engine",
              "signed": "true",
              "signatureStatus": "Valid",
              "processGuid": "{45cd4aff-35fc-6463-6a03-000000001300}",
              "processId": "4064",
              "utcTime": "2023-05-16 07:51:24.774",
              "hashes": "SHA1=52A6AB3E468C4956C00707DF80C7609EEE74D9AD,MD5=BEE4D173DA78E4D3AC9B54A95C6A464A,SHA256=36B0BA10BBB6575CA4A4CBDE585F6E19B86B3A80014B3C3D8335F861D8AEBFAB,IMPHASH=47F306C12509ADBBC266F7DA43529A4D",
              "ruleName": "technique_id=T1055,technique_name=Process Injection",
              "company": "Microsoft Corporation",
              "fileVersion": "10.0.22621.1 (WinBuild.160101.0800)",
              "user": "Windows11\\\\Testuser"
            },
            "system": {
              "eventID": "7",
              "keywords": "0x8000000000000000",
              "providerGuid": "{5770385f-c22a-43e0-bf4c-06f5698ffbd9}",
              "level": "4",
              "channel": "Microsoft-Windows-Sysmon/Operational",
              "opcode": "0",
    
             "message": "\"Image loaded:\r\nRuleName: technique_id=T1055,technique_name=Process Injection\r\nUtcTime: 2023-05-16 07:51:24.774\r\nProcessGuid: {45cd4aff-35fc-6463-6a03-000000001300}\r\nProcessId: 4064\r\nImage: C:\\Windows\\SysWOW64\\regsvr32.exe\r\nImageLoaded: C:\\Windows\\SysWOW64\\mscoree.dll\r\nFileVersion: 10.0.22621.1 (WinBuild.160101.0800)\r\nDescription: Microsoft .NET Runtime Execution Engine\r\nProduct: Microsoft® Windows® Operating System\r\nCompany: Microsoft Corporation\r\nOriginalFileName: mscoree.dll\r\nHashes: SHA1=52A6AB3E468C4956C00707DF80C7609EEE74D9AD,MD5=BEE4D173DA78E4D3AC9B54A95C6A464A,SHA256=36B0BA10BBB6575CA4A4CBDE585F6E19B86B3A80014B3C3D8335F861D8AEBFAB,IMPHASH=47F306C12509ADBBC266F7DA43529A4D\r\nSigned: true\r\nSignature: Microsoft Windows\r\nSignatureStatus: Valid\r\nUser: Windows11\\Testuser\"",
    
             "version": "3",
              "systemTime": "2023-05-16T07:51:24.7768916Z",
              "eventRecordID": "88510",
              "threadID": "3960",
              "computer": "Windows11",
              "task": "7",
              "processID": "3156",
              "severityValue": "INFORMATION",
              "providerName": "Microsoft-Windows-Sysmon"
            }
          }
        },
    ```
5. `<span class="pre">data.win.eventdata.ruleName:technique_id=T1218.010,technique_name=Regsvr32</span>`Teknik kimliğini görmek için aşağıda gösterilen filtreyi uygulayın.
    
    <div class="wazuh-image-wrapper align-center">![Filtre T1218.010 tekniği](https://documentation.wazuh.com/current/_images/filter-T1218.010-technique1.png)  
    </div>
6. İlgili alanları görüntülemek için olayı genişletin.
    
    <div class="wazuh-image-wrapper align-center">![Filtre T1218.010 tekniği](https://documentation.wazuh.com/current/_images/expand-T1218.010-event1.png)  
    </div>
7. Arşivlenmiş günlüklerin JSON formatını görüntülemek için JSON sekmesine tıklayın.
    
    <div class="wazuh-image-wrapper align-center">![JSON sekmesi](https://documentation.wazuh.com/current/_images/json-tab21.png)</div>  
    Aşağıdaki kayıttan, olayı analiz etmeyi kolaylaştıran daha yapılandırılmış ayrıntılar çıkarabilirsiniz:
    
    ```
    "data": {
          "win": {
            "eventdata": {
              "destinationPort": "443",
              "image": "C:\\\\Windows\\\\System32\\\\regsvr32.exe",
              "sourcePort": "63754",
              "initiated": "true",
              "destinationIp": "1.1.123.23",
              "protocol": "tcp",
              "processGuid": "{45cd4aff-36b5-645a-9e07-000000000e00}",
              "sourceIp": "192.168.43.16",
              "processId": "4704",
              "utcTime": "2023-05-09 21:19:25.361",
    
             "ruleName": "technique_id=T1218.010,technique_name=Regsvr32",
    
             "destinationIsIpv6": "false",
              "user": "Windows11\\\\Testuser",
              "sourceIsIpv6": "false"
            },
            "system": {
              "eventID": "3",
              "keywords": "0x8000000000000000",
              "providerGuid": "{5770385f-c22a-43e0-bf4c-06f5698ffbd9}",
              "level": "4",
              "channel": "Microsoft-Windows-Sysmon/Operational",
              "opcode": "0",
    
             "message": "\"Network connection detected:\r\nRuleName: technique_id=T1218.010,technique_name=Regsvr32\r\nUtcTime: 2023-05-09 21:19:25.361\r\nProcessGuid: {45cd4aff-36b5-645a-9e07-000000000e00}\r\nProcessId: 4704\r\nImage: C:\\Windows\\System32\\regsvr32.exe\r\nUser: Windows11\\Testuser\r\nProtocol: tcp\r\nInitiated: true\r\nSourceIsIpv6: false\r\nSourceIp: 192.168.43.16\r\nSourceHostname: -\r\nSourcePort: 63754\r\nSourcePortName: -\r\nDestinationIsIpv6: false\r\nDestinationIp: 185.199.108.133\r\nDestinationHostname: -\r\nDestinationPort: 443\r\nDestinationPortName: -\"",
    
             "version": "5",
              "systemTime": "2023-05-09T12:04:07.0231156Z",
              "eventRecordID": "63350",
              "threadID": "3096",
              "computer": "Windows11",
              "task": "3",
              "processID": "3156",
              "severityValue": "INFORMATION",
              "providerName": "Microsoft-Windows-Sysmon"
            }
          }
        },
    ```

Algılama mantığını geliştirmek ve özel kod çözücüler ve kurallar yazmak için Wazuh arşivlerinden gelen olayları kullanabilirsiniz. Ayrıca `<span class="pre">wazuh-logtest</span>`, kuralları sağlanan günlüklere göre test etmek ve doğrulamak için hazır aracı da kullanabilirsiniz.

</section></section></section></section>