Windows Güvenlik Olay Kimlikleri (Security Event IDs) ve Açıklamaları

Windows işletim sistemi, güvenlik olaylarını ve kullanıcı aktivitelerini izlemek için çeşitli event ID’leri oluşturur. Bu Event ID’leri, sistemde meydana gelen önemli olayları takip etmenize ve potansiyel güvenlik tehditlerini belirlemenize olanak tanır. İşte web sayfanız için bu önemli Security Event ID’lerini içeren bir makale:

Oturum Açma ve Hesap İlgili Event ID’leri

• 4624: An account was successfully logged on
  Bu Event ID, bir kullanıcının başarılı bir şekilde oturum açtığını gösterir. Sistem erişimi için yetkilendirilmiş kullanıcıların oturumlarını izlemek için önemlidir.
• 4625: An account failed to log on
  Bir oturum açma girişiminin başarısız olduğunu ifade eder. Bu olay, yanlış parola girişimi veya yetkisiz erişim denemeleri gibi durumlarda ortaya çıkar.
• 4720: A user account was created
  Sistem üzerinde yeni bir kullanıcı hesabının oluşturulduğunu gösterir. Sisteminizde yetkisiz hesap oluşturulma girişimlerini tespit etmek için bu ID’yi izleyebilirsiniz.
• 4740: A user account was locked out
  Bir kullanıcı hesabının kilitlendiği durumları gösterir. Yanlış parola denemeleri nedeniyle hesabın kilitlenmesi durumunda bu ID devreye girer ve kilitlenme politikalarınızı kontrol etmenize yardımcı olur.

Grup ve Güvenlik İlgili Event ID’leri

• 4732: A member was added to a security-enabled local group
  Bir üyenin, güvenlik özellikli bir yerel gruba eklendiğini gösterir. Bu tür değişiklikler, özellikle yönetici grupları için kritik öneme sahiptir ve izlenmesi gerekir.
• 4756: A member was added to a security-enabled universal group
  Güvenlik özellikli bir evrensel gruba bir üyenin eklendiğini ifade eder. Bu olaylar, sistem yetkilendirmelerinin doğru ve yetkisiz erişime kapalı olduğundan emin olmanızı sağlar.

Firewall ve Ağ İlgili Event ID’leri

• 4946: A change has been made to Windows Firewall exception list. A rule was added
  Windows Güvenlik Duvarı’na yeni bir istisna kuralının eklendiğini ifade eder. Sisteminizin güvenlik ayarlarında yapılan değişikliklerin izlenmesi için önemlidir.
• 5025: The Windows Firewall Service has been stopped
  Windows Güvenlik Duvarı Hizmeti’nin durdurulduğunu gösterir. Güvenlik duvarı hizmetinin aniden durdurulması, potansiyel bir tehdit anlamına gelebilir.

Denetim ve Günlükleme İlgili Event ID’leri

• 1102: The audit log was cleared
  Denetim günlüğünün temizlendiğini gösterir. Bu olay kritik öneme sahiptir çünkü saldırganlar, izlerini silmek için denetim günlüklerini temizleyebilirler.
• 4616: System time was changed
  Sistem saatinin değiştirildiğini belirtir. Saat değişiklikleri, kimlik doğrulama işlemlerinin bozulmasına ve log korelasyonunun zorlaşmasına neden olabilir.

Sistem ve Çeşitli İlgili Event ID’leri

• 4647: A user initiated a logoff
  Bir kullanıcının oturumunu kapattığını gösterir. Çıkış yapılan oturumları izlemek, yetkisiz kullanım ve şüpheli faaliyetlerin tespit edilmesine yardımcı olabilir.
• 4776: NTLM authentication failed
  NTLM kimlik doğrulamasının başarısız olduğunu gösterir. Potansiyel parola deneme saldırılarını tespit etmek için bu ID’yi takip edebilirsiniz.

Neden Windows Security Event ID’leri İzlenmeli?

Bu Event ID’leri, sisteminizde meydana gelen kritik olayları anlamanıza ve potansiyel tehditleri tespit etmenize yardımcı olur. Düzenli olarak bu logları izlemek, sistem güvenliğinizi artırır ve olası güvenlik açıklarını önler.

Windows sistemlerindeki bu önemli Security Event ID’lerini yakından takip ederek, hem işletmenizin hem de sisteminizin güvenliğini proaktif bir şekilde koruyabilirsiniz.