×

Son Yazılar

Windows Event ID 4648 Nedir Güvenlik Analizi ve SIEM İncelemesi
Active Directory , , ,

Windows Event ID 4648 Nedir? Güvenlik Analizi ve SIEM İncelemesi

Merhaba, bu yazımda sizlere Windows Event ID 4648 Nedir? Güvenlik Analizi ve SIEM İncelemesi konusundan bahsedeceğim.

Event ID 4648’in Saldırı Tespitinde Kullanımı

Bu olay günlüğü, kimlik avı saldırılarını, kötü amaçlı yazılım faaliyetlerini veya yetkisiz erişim denemelerini tespit etmek için kullanılabilir.

  • Brute Force veya Credential Stuffing Saldırıları
    Birden fazla başarısız girişim tespit edilirse, kötü niyetli bir saldırı olabilir.
  • Olağandışı Saatlerde Girişler
    Gece veya mesai saatleri dışında bir yöneticinin kimlik bilgileriyle giriş yapılması şüphelidir.
  • Farklı Kaynak IP’lerinden Tekrar Eden Denemeler
    Çeşitli IP adreslerinden farklı hesaplarla giriş denemeleri saldırı belirtisi olabilir.
  • Yüksek Yetkili Hesaplarla Anormal Kullanım
    Administrator, Domain Admin, Service Account gibi hesaplarla beklenmeyen işlemler yapılıyorsa, siber tehdit olabilir.
Windows-Event-ID-4648-Nedir-Guvenlik-Analizi-ve-SIEM-Incelemesi1 Windows Event ID 4648 Nedir? Güvenlik Analizi ve SIEM İncelemesi
Event ID 4648

Event ID 4648 ile 4624 ve 4672 Olaylarının İlişkisi

Event ID 4648, tek başına yeterli bilgi sağlamaz. Diğer loglarla birlikte analiz edilmelidir:

  • Event ID 4624 (Successful Logon)
    4648 sonrası 4624 kaydı geliyorsa, kimlik bilgileriyle giriş başarılı olmuş demektir.
  • Event ID 4672 (Special Privileges Assigned to New Logon)
    Yetkili bir hesaba giriş yapıldığını gösterir.
    4648 + 4672 birlikte görüldüğünde, bir yönetici hesabı veya özel izinler verilen bir hesap kullanılıyor olabilir.

SIEM Sistemlerinde (Splunk, ELK, QRadar) 4648 Analizi

Eğer bir SIEM (Security Information and Event Management) sistemi kullanıyorsan, Event ID 4648’i analiz etmek için aşağıdaki sorguları kullanabilirsin.

Splunk İçin 4648 Sorgusu

index=wineventlog EventCode=4648

| stats count by TargetUserName, TargetDomainName, TargetServerName, ProcessName

ELK (Elasticsearch, Logstash, Kibana) İçin 4648 Sorgusu

{

  “query”: {

    “bool”: {

      “must”: [

        { “match”: { “event_id”: “4648” } }

      ]

    }

  }

}

4648 Event ID için SIEM Uyarı Kuralları

  • Aynı kullanıcı farklı IP’lerden giriş yaparsa
    Kural: 30 dakika içinde aynı kullanıcı farklı IP’lerden 5’ten fazla giriş yaparsa uyarı ver.
  • Hassas hesaplarla giriş yapıldığında uyarı
    Kural: Domain Admin, Administrator, MSSQLService gibi kritik hesaplarla giriş yapılırsa alarm ver.
  • Beklenmeyen süreçlerden gelen girişler
    Kural: cmd.exe, powershell.exe, wscript.exe gibi şüpheli süreçlerden giriş denemesi olursa uyarı ver.

Aşağıdaki link üzerinden Microsoft tarafında Event ID 4648 inceleyebilirsiniz.

A logon was attempted using explicit credentials.

Bu yazımda sizlere Windows Event ID 4648 Nedir? Güvenlik Analizi ve SIEM İncelemesi konusundan bahsettim. Faydalı olması dileğiyle.

 

Etiket
Dağcan Nural

1988 İstanbul doğumluyum. Bilgisayar dünyasına olan hayranlığım çok küçük yaşlarda başladı. Bu sebeple sistem alanında kendimi geliştirmeye karar verdim. Celal Bayar Üniversitesi Bilgisayar Programcılığı ve Anadolu Üniversitesi İşletme mezunuyum. Beykent Üniversitesi'nde Yönetim Bilişim Sistemleri Bölümü'nde yüksek lisans eğitimimi tamamladım. 2005 yılında Bilge Adam Sistem & Network Mühendisliği eğitimi aldım. Hemen ardından IT dünyasına giriş yaptım. Collezione şirketinde 2006 - 2018 yılları arasında Sistem Uzmanı olarak görev yaptım. 2018 Temmuz ayından beri LCWAIKIKI şirketinde System Engineer pozisyonunda çalışmaktayım. Sektörde 19 yıllık deneyime sahibim. Birçok önemli projede görev aldım. Sayfanın en alt kısmından Linkedin profilime ulaşabilirsiniz. Bilgi ve tecrübemi hem bu blog üzerinde hem de Çözümpark Bilişim Portalı üzerinde paylaşıyorum.

view all posts

Related Posts

Yorum gönder