Windows Event Logları, güvenlik operasyonları ve SIEM (Security Information and Event Management) çözümleri için kritik öneme sahiptir. Bu loglar, saldırı tespiti, uyumluluk izleme ve ağ güvenliği analizleri için kullanılabilir. Aşağıda, Windows Event ID’lerine dayalı önemli SIEM kullanım senaryosunu bulabilirsiniz.
1. Kimlik Doğrulama ve Erişim Kontrolü
-
Başarısız Giriş Denemeleri – Event ID: 4625
-
Hesap Kilitlemeleri – Event ID: 4740
-
Çalışma Saatleri Dışında Başarılı Giriş – Event ID: 4624
-
Yeni Kullanıcı Oluşturma – Event ID: 4720
-
Ayrıcalıklı Hesap Kullanımı – Event ID: 4672
-
Kullanıcı Hesabı Değişiklikleri – Event IDs: 4722, 4723, 4724, 4725, 4726
-
Alışılmadık Konumlardan Giriş – Event ID: 4624 (Coğrafi konum analizi ile)
-
Şifre Değişiklikleri – Event IDs: 4723 (değişiklik denemesi), 4724 (başarılı sıfırlama)
-
Grup Üyelik Değişiklikleri – Event IDs: 4727, 4731, 4735, 4737
-
Şüpheli Giriş Desenleri – Event ID: 4624 (anormal girişler)
-
Aşırı Giriş Başarısızlıkları – Event ID: 4625
-
Devre Dışı Bırakılmış Hesap Aktivitesi – Event ID: 4725
-
Uzun Süredir Kullanılmayan Hesapların Aktivitesi – Event ID: 4624 (nadiren kullanılan hesaplar)
-
Servis Hesabı Aktivitesi – Event IDs: 4624, 4672
-
RDP Erişim İzleme – Event ID: 4624 (RDP filtreleme ile)
2. Ağ ve Sistem Hareketleri
-
Yanal Hareket Tespiti – Event ID: 4648 (ağ girişleri)
-
Dosya ve Klasör Erişimi – Event ID: 4663
-
Yetkisiz Dosya Paylaşımı – Event IDs: 5140, 5145
-
Kayıt Defteri Değişiklikleri – Event ID: 4657
-
Uygulama Yükleme ve Kaldırma – Event IDs: 11707, 1033
-
USB Cihaz Kullanımı – Event IDs: 20001, 20003 (Cihaz Yönetimi loglarından)
-
Windows Güvenlik Duvarı Değişiklikleri – Event IDs: 4946, 4947, 4950, 4951
-
Zamanlanmış Görev Oluşturma – Event ID: 4698
-
Proses Çalıştırma İzleme – Event ID: 4688
-
Sistem Yeniden Başlatma veya Kapatma – Event IDs: 6005, 6006, 1074
3. Güvenlik İhlali ve Log Manipülasyonu
-
Event Log Temizleme – Event ID: 1102
-
Kötü Amaçlı Yazılım Çalıştırma – Event IDs: 4688, 1116 (Windows Defender loglarından)
-
Active Directory Değişiklikleri – Event IDs: 5136, 5141
-
Shadow Copy Silinmesi – Event ID: 524 (VSSAdmin logları ile)
-
Ağ Yapılandırma Değişiklikleri – Event IDs: 4254, 4255, 10400
-
Şüpheli Script Çalıştırma – Event ID: 4688 (script yorumlayıcı ile proses oluşturma)
-
Servis Yükleme veya Değiştirme – Event ID: 4697
-
Denetim Loglarının Temizlenmesi – Event ID: 1102
-
Yazılım Kısıtlama Politikası İhlali – Event ID: 865
-
Aşırı Hesap Numaralandırma – Event IDs: 4625, 4776
4. Gelişmiş Tehdit Tespiti
-
Hassas Dosyalara Erişim Denemesi – Event ID: 4663
-
Alışılmadık Proses Enjeksiyonu – Event ID: 4688 (EDR veya Sysmon verisi ile)
-
Sürücü Yükleme – Event IDs: 7045 (Service Control Manager)
-
Zamanlanmış Görev Değişiklikleri – Event ID: 4699
-
Yetkisiz GPO Değişiklikleri – Event ID: 5136
-
Şüpheli PowerShell Aktivitesi – Event ID: 4104 (PowerShell loglarından)
-
Alışılmadık Ağ Bağlantıları – Event ID: 5156 (ağ filtreleme platformu)
-
Paylaşılan Dosyalara Yetkisiz Erişim – Event ID: 5145
-
Zararlı Domain DNS Sorgusu – Event ID: 5158 (DNS logları gerektirir)
-
LDAP Arama İstismarı – Event ID: 4662
-
Proses Sonlandırma İzleme – Event ID: 4689
-
Servis Başlatma Başarısızlıkları – Event ID: 7041
-
Denetim Politikası Değişiklikleri – Event IDs: 4719, 1102
-
Zaman Değişikliği İzleme – Event IDs: 4616, 520
-
BitLocker Şifreleme Anahtarı Değişiklikleri – Event ID: 5379
Windows Event Logları, SIEM çözümleriyle entegre edilerek güvenlik tehditlerini tespit etmek için kullanılabilir. Yukarıdaki kullanım senaryosu, kuruluşların olası saldırıları ve anormal aktiviteleri belirlemesine yardımcı olur. Bu logları düzenli olarak izlemek ve analiz etmek, siber güvenlik postürünü güçlendirmek için kritik öneme sahiptir.
Kaynaklar:
- Microsoft Güvenlik Olay Kimlikleri Belgesi
- MITRE ATT&CK Framework
- SIEM En İyi Uygulama Kılavuzları
