Windows Event ID lerin SIEM’deki önemli kullanım durumları ile açıklayıcı bir rehber hazırladım. Bu kapsamlı izleme senaryoları, bir organizasyonun siber güvenlik olgunluğunu artırmak ve tehditleri erken tespit etmek için kritik öneme sahiptir. Her senaryo için uygun alarm mekanizmaları ve yanıt prosedürleri oluşturulmalıdır. (Daha önceki yazımda açık kaynak kodlu siem sunucusu kuruluman buradan erişebilirsiniz.)
1. Başarısız Giriş Denemeleri (Event ID: 4625)
– Bir kullanıcı hesabına yapılan başarısız giriş denemelerini izler
– Olası brute-force saldırılarını tespit etmek için kritiktir
– Belirli bir sürede çok sayıda başarısız deneme, saldırı göstergesi olabilir
2. Hesap Kilitlemeleri (Event ID: 4740)
– Çok sayıda başarısız deneme sonucu kilitlenen hesapları gösterir
– Potansiyel saldırı girişimlerini veya unutulmuş/değişmiş şifreleri belirler
– Güvenlik ekibinin hızlı müdahale etmesini sağlar
3. Mesai Dışı Giriş (Event ID: 4624)
– Normal çalışma saatleri dışında yapılan girişleri tespit eder
– Yetkisiz erişim girişimlerini belirlemede önemlidir
– Özellikle yönetici hesapları için kritik öneme sahiptir
4. Yeni Kullanıcı Oluşturma (Event ID: 4720)
– Sistemde oluşturulan yeni hesapları izler
– Yetkisiz hesap oluşturmalarını tespit eder
– Standart kullanıcı yönetimi politikalarına uyumu kontrol eder
5. Ayrıcalıklı Hesap Kullanımı (Event ID: 4672)
– Admin veya yüksek yetkili hesap aktivitelerini izler
– Yetkili hesapların kötüye kullanımını tespit eder
– Hangi yönetici ne zaman, hangi işlemi yapmış görülebilir
6. Şüpheli Login Desenleri (Event ID: 4624)
– Aynı hesapla farklı lokasyonlardan yapılan girişleri tespit eder
– Olağandışı zamanlarda veya sıklıkta yapılan girişleri belirler
– Hesap ele geçirme girişimlerini tespit etmede yardımcı olur
7. Zararlı Yazılım Yürütme (Event ID: 4688, 1116)
– Windows Defender tarafından tespit edilen zararlı yazılımları gösterir
– Şüpheli process başlatmalarını izler
– Potansiyel malware enfeksiyonlarını erken tespit etmeyi sağlar
8. Hassas Dosyalara Erişim (Event ID: 4663)
– Kritik sistem veya iş dosyalarına erişim denemelerini izler
– Yetkisiz erişim girişimlerini tespit eder
– Veri sızıntısı girişimlerini belirlemeye yardımcı olur
9. PowerShell Aktivitesi (Event ID: 4104)
– PowerShell script çalıştırmalarını izler
– Şüpheli veya zararlı script kullanımını tespit eder
– Potansiyel fileless malware saldırılarını belirler
10. Yetkilendirme Değişiklikleri (Event ID: 4728, 4732, 4735)
– Grup üyeliklerindeki değişiklikleri izler
– Yetkisiz yetki yükseltmelerini tespit eder
– Ayrıcalıklı gruplara yapılan ekleme/çıkarmaları takip eder
11. Aşırı Başarısız Giriş (Event ID: 4625)
– Belirli bir sürede çok sayıda başarısız giriş denemesini izler
– Brute-force saldırılarının temel göstergesidir
– Otomatik saldırı araçlarını tespit etmeye yardımcı olur
12. Devre Dışı Hesap Aktivitesi (Event ID: 4725)
– Devre dışı bırakılmış hesaplardaki aktiviteleri izler
– Eski çalışan hesaplarının kullanım denemelerini tespit eder
– Potansiyel arka kapı hesaplarını belirlemeye yardımcı olur
13. Atıl Hesap Kullanımı (Event ID: 4624)
– Uzun süre kullanılmayan hesapların aniden aktif olmasını izler
– Ele geçirilmiş eski hesapları tespit eder
– Hesap hijyeni için önemli bir göstergedir
14. Servis Hesabı Aktivitesi (Event IDs: 4624, 4672)
– Servis hesaplarının normal dışı kullanımını izler
– İnsan kullanıcı gibi davranan servis hesaplarını tespit eder
– Servis hesaplarının yetkilerinin kötüye kullanımını belirler
15. RDP Erişim İzleme (Event ID: 4624)
– Uzak masaüstü bağlantılarını izler
– Yetkisiz uzak erişimleri tespit eder
– RDP üzerinden yapılan şüpheli aktiviteleri belirler
16. Yanal Hareket Tespiti (Event ID: 4648)
– Ağ içinde bir sistemden diğerine yapılan geçişleri izler
– Saldırganların ağ içi hareketlerini tespit eder
– Pass-the-hash saldırılarını belirlemeye yardımcı olur