Windows Event ID 4648 Nedir? Güvenlik Analizi ve SIEM İncelemesi

Dağcan Nural0
Windows Event ID 4648 Nedir Güvenlik Analizi ve SIEM İncelemesi

Merhaba, bu yazımda sizlere Windows Event ID 4648 Nedir? Güvenlik Analizi ve SIEM İncelemesi konusundan bahsedeceğim.

Event ID 4648’in Saldırı Tespitinde Kullanımı

Bu olay günlüğü, kimlik avı saldırılarını, kötü amaçlı yazılım faaliyetlerini veya yetkisiz erişim denemelerini tespit etmek için kullanılabilir.

  • Brute Force veya Credential Stuffing Saldırıları
    Birden fazla başarısız girişim tespit edilirse, kötü niyetli bir saldırı olabilir.
  • Olağandışı Saatlerde Girişler
    Gece veya mesai saatleri dışında bir yöneticinin kimlik bilgileriyle giriş yapılması şüphelidir.
  • Farklı Kaynak IP’lerinden Tekrar Eden Denemeler
    Çeşitli IP adreslerinden farklı hesaplarla giriş denemeleri saldırı belirtisi olabilir.
  • Yüksek Yetkili Hesaplarla Anormal Kullanım
    Administrator, Domain Admin, Service Account gibi hesaplarla beklenmeyen işlemler yapılıyorsa, siber tehdit olabilir.
Event ID 4648

Event ID 4648 ile 4624 ve 4672 Olaylarının İlişkisi

Event ID 4648, tek başına yeterli bilgi sağlamaz. Diğer loglarla birlikte analiz edilmelidir:

  • Event ID 4624 (Successful Logon)
    4648 sonrası 4624 kaydı geliyorsa, kimlik bilgileriyle giriş başarılı olmuş demektir.
  • Event ID 4672 (Special Privileges Assigned to New Logon)
    Yetkili bir hesaba giriş yapıldığını gösterir.
    4648 + 4672 birlikte görüldüğünde, bir yönetici hesabı veya özel izinler verilen bir hesap kullanılıyor olabilir.

SIEM Sistemlerinde (Splunk, ELK, QRadar) 4648 Analizi

Eğer bir SIEM (Security Information and Event Management) sistemi kullanıyorsan, Event ID 4648’i analiz etmek için aşağıdaki sorguları kullanabilirsin.

Splunk İçin 4648 Sorgusu

index=wineventlog EventCode=4648

| stats count by TargetUserName, TargetDomainName, TargetServerName, ProcessName

ELK (Elasticsearch, Logstash, Kibana) İçin 4648 Sorgusu

{

  “query”: {

    “bool”: {

      “must”: [

        { “match”: { “event_id”: “4648” } }

      ]

    }

  }

}

4648 Event ID için SIEM Uyarı Kuralları

  • Aynı kullanıcı farklı IP’lerden giriş yaparsa
    Kural: 30 dakika içinde aynı kullanıcı farklı IP’lerden 5’ten fazla giriş yaparsa uyarı ver.
  • Hassas hesaplarla giriş yapıldığında uyarı
    Kural: Domain Admin, Administrator, MSSQLService gibi kritik hesaplarla giriş yapılırsa alarm ver.
  • Beklenmeyen süreçlerden gelen girişler
    Kural: cmd.exe, powershell.exe, wscript.exe gibi şüpheli süreçlerden giriş denemesi olursa uyarı ver.

Aşağıdaki link üzerinden Microsoft tarafında Event ID 4648 inceleyebilirsiniz.

A logon was attempted using explicit credentials.

Bu yazımda sizlere Windows Event ID 4648 Nedir? Güvenlik Analizi ve SIEM İncelemesi konusundan bahsettim. Faydalı olması dileğiyle.

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir