- Katılım
- 10 Ocak 2026
- Mesajlar
- 15
- Tepkime puanı
- 17
- Puan
- 3
Merhabalar;
Bu gördüğümüz yapı Splunk,Sentinelone, Wazuh vs gibi dünya genelindeki alarmın ham kaynağıdır.
Windows sistemde olan her önemli hareketi izler. Kullanıcı girişi , Dosya erişimi , Ağ kullanımı , Yetki değişimi bu işlemler kernel + Windows Api tarafından yakalanır.
GÜVENLİK EVENT ID'LERİ;
4624 Başarılı Login
Logon Type'a dikkat!
Type 2: Konsol (fiziksel)
Type 3: Network (dosya paylaşımı)
Type 10: RDP (uzak masaüstü) Saldırganların Favorisi
4625 Başarısız Login
5+ deneme = Brute Force şüphesi
4648 Farklı Kimlikle Login Denemesi
Lateral Movement (yayılma) işareti
4672 Admin Yetkisiyle Login
Normal kullanıcı admin oldu mu?
4720 Yeni Kullanıcı Oluşturuldu
Hacker backdoor hesap açıyor olabilir
4732 Kullanıcı Gruba Eklendi
Hacker kendini "Admins" grubuna ekliyor mu?
4688 Yeni Süreç (Program) Başlatıldı
powershell.exe, cmd.exe = dikkat!
4663 Dosyaya Erişim
Çok sayıda dosya erişimi = Ransomware?
4698 Zamanlanmış Görev (Scheduled Task) Oluşturuldu
Persistence tekniği (kalıcılık)
4719 Güvenlik Politikası Değiştirildi
Hacker logları silmeye mi çalışıyor?
4634 Kullanıcı Çıkış Yaptı (Logoff)
Oturum kapandı
1102 Security Log Temizlendi!
İZ SİLME! Çok şüpheli!
SİSTEM EVENT ID'LERİ (System Log)
7045 Yeni Servis Yüklendi
Malware servis olarak yüklenebilir
104 Event Log Temizlendi
İz silme girişimi
6005/6006 Sistem Açıldı/Kapandı
Uptime kontrolü için
Bu gördüğümüz yapı Splunk,Sentinelone, Wazuh vs gibi dünya genelindeki alarmın ham kaynağıdır.
Windows sistemde olan her önemli hareketi izler. Kullanıcı girişi , Dosya erişimi , Ağ kullanımı , Yetki değişimi bu işlemler kernel + Windows Api tarafından yakalanır.
GÜVENLİK EVENT ID'LERİ;
4624 Başarılı Login
Logon Type'a dikkat!
Type 2: Konsol (fiziksel)
Type 3: Network (dosya paylaşımı)
Type 10: RDP (uzak masaüstü) Saldırganların Favorisi
4625 Başarısız Login
5+ deneme = Brute Force şüphesi
4648 Farklı Kimlikle Login Denemesi
Lateral Movement (yayılma) işareti
4672 Admin Yetkisiyle Login
Normal kullanıcı admin oldu mu?
4720 Yeni Kullanıcı Oluşturuldu
Hacker backdoor hesap açıyor olabilir
4732 Kullanıcı Gruba Eklendi
Hacker kendini "Admins" grubuna ekliyor mu?
4688 Yeni Süreç (Program) Başlatıldı
powershell.exe, cmd.exe = dikkat!
4663 Dosyaya Erişim
Çok sayıda dosya erişimi = Ransomware?
4698 Zamanlanmış Görev (Scheduled Task) Oluşturuldu
Persistence tekniği (kalıcılık)
4719 Güvenlik Politikası Değiştirildi
Hacker logları silmeye mi çalışıyor?
4634 Kullanıcı Çıkış Yaptı (Logoff)
Oturum kapandı
1102 Security Log Temizlendi!
İZ SİLME! Çok şüpheli!
SİSTEM EVENT ID'LERİ (System Log)
7045 Yeni Servis Yüklendi
Malware servis olarak yüklenebilir
104 Event Log Temizlendi
İz silme girişimi
6005/6006 Sistem Açıldı/Kapandı
Uptime kontrolü için
