CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

Event Log Artifact Avcılığı: Windows Güvenliğinde Temel Teknikler

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

Windows Event Log'ları kullanarak siber tehditleri nasıl analiz edeceğinizi öğrenin. Forensic avantajları ve kritik güvenlik logları hakkında bilgi edinin.

Event Log Artifact Avcılığı: Windows Güvenliğinde Temel Teknikler

Windows Event Log'larının güvenlik analizi için nasıl kullanılacağını öğrenin. Bu blogda, temel log türleri, EvtxECmd aracı ve tehdit avcılığı süreçleri incelenecek.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında olay logları (event logs), sistem aktiviteleri, güvenlik olayları ve uygulama kayıtlarını merkezi bir yapı içerisinde tutan önemli bileşenlerdir. Windows işletim sistemlerinde, bu kayıtlar işletim sisteminin işleyişi hakkında değerli bilgiler sağlayarak, güvenlik analistlerinin şüpheli aktiviteleri tespit etmesine ve olaylara müdahale etmesine olanak tanıır. Event log avcılığı, bu logların bilinçli bir şekilde incelenmesi ve analiz edilmesi sürecidir ve günümüz siber tehdit ortamında önemli bir yer tutmaktadır.

Kullanıcıların sistemle etkileşimlerini ve güvenlik olaylarını kaydeden bu loglar, işletim sistemindeki kritik değişikliklerin ve potansiyel saldırıların izlenmesi için kullanılabilir. Özellikle bir sisteme yönelik yapılan saldırılar sırasında, saldırganların izlerini örtmek için birçok teknik kullanabileceğinden, olay loglarının analizi kritik bir gereklilik haline gelmektedir. Bu nedenle, siber güvenlik profesyonellerinin event log avcılığı konusundaki bilgi ve becerilerini geliştirmeleri hayati öneme sahiptir.

Önemi

Siber güvenlikte olay logları, olay sonrası analiz süreçlerinin temel yapı taşlarını oluşturur. Etkin bir olay log analizi yapmak, potansiyel tehditleri belirlemek ve saldırıları tespit etmek için gereklidir. Loglar, kullanıcı girişleri, sistem hataları, uygulama etkinlikleri gibi birçok bilgiyi içerir ve bu bilgiler sayesinde sistem yöneticileri ve güvenlik analistleri, kullanıcı davranışlarını izleyerek şüpheli aktiviteleri tespit edebilir. Ayrıca, olay logları siber saldırıların araştırılması ve çözülmesi için bir zaman çizelgesi oluşturulmasına olanak tanır.

Özellikle saldırı girişimlerini ve güvenlik ihlallerini ortaya çıkarmak için kritik öneme sahip birçok olay kimliği (Event ID) bulunmaktadır. Örneğin, başarılı bir oturum açma işlemi için belirlenen kritik Event ID, analiz sürecinde güçlü bir referans noktası oluşturur.

Bağlamlandırma

Event log avcılığının siber güvenlik ve penetrasyon testi (pentest) ile olan ilişkisi derin ve önemlidir. Pentesting süreçlerinde, saldırganlar genellikle sistem loglarını hedef alır ve bu logların silinmesi veya değiştirilmesi gibi tekniklerle izlerini kaybettirmeye çalışır. Bu nedenle, güvenlik analistlerinin bu logları detaylı bir şekilde inceleyebilmesi, saldırı girişimlerinin belirlenmesi ve önlenmesi açısından kritik bir rol oynar. Analistler, olay logları aracılığıyla belirli bir süre içinde hangi aktivitelerin gerçekleştiğini anlamak için zaman çizelgeleri oluşturur ve bu süreçleri yönlendiren geçerliliği kanıtlanmış yöntemlere başvururlar.

Teknik İçeriğe Hazırlık

Gelecek bölümlerde, Windows sistemlerinde event log avcılığı için temel teknikler ve araçlar üzerinde durulacaktır. Bu bağlamda, log dosyalarının nerelerde saklandığı, temel log türleri, analiz için kullanılan araçlar gibi konular ele alınacaktır. Özellikle Eric Zimmerman tarafından geliştirilen EVTX parser aracı, Windows log klasörlerini analiz etmek için sağladığı kolaylık ve etkinlikle dikkat çekmektedir. Bu araç sayesinde, log dosyalarının içeriği hızlı bir şekilde incelenebilir ve şüpheli aktivitelerin izleri kolayca takip edilebilir. 

evtxecmd.exe -d C:\Windows\System32\winevt\logs

Yukarıdaki komut örneğinde, Windows log dizinindeki tüm olay loglarının analizi yapılmakta ve bu sayede sistem aktiviteleri hakkında detaylı bir bilgiye ulaşılmaktadır. Kullanıcıların sisteme dair faaliyetlerini, potansiyel tehditleri tespit etmek ve olayları daha derinlemesine incelemek için Event Log artifact avcılığı konusundaki teknik bilgi ve becerilerini geliştirmeleri önem arz etmektedir. Bu sayede, siber tehditlere yönelik proaktif bir yaklaşım benimsemek mümkün olacaktır.

Sonuç olarak, event log avcılığı, siber güvenlik uygulamalarının vazgeçilmez bir parçası olup, etkin bir güvenlik yönetimi için gerekli olan temel teknikleri içermektedir. Bu başlangıç noktasından hareketle, takip eden bölümlerde bu tekniklerin detayları ile güvenlik stratejilerine katkıda bulunacak uygulama örnekleri üzerinde durulacaktır.

Teknik Analiz ve Uygulama

Event Log Tanımı

Windows Event Log, sistem aktiviteleri ve güvenlik olaylarını merkezi bir yapı altında saklayan bir sistemdir. Loglar, hem sistem olaylarını hem de uygulama aktivitelerini tutarak, sistem yöneticilerine ve güvenlik analistlerine kritik veriler sağlar. Özellikle güvenlik analizi ve olay yanıtı süreçlerinde önemli rol oynamaktadır. Event loglar, ayrıca, bir sistemdeki anormallikleri tespit etmek için de kullanılır; bu sayede potansiyel tehditler daha hızlı bir şekilde belirlenebilir.

Event Log Dosya Konumu

Windows Event Log dosyaları, genellikle aşağıdaki dizin altında bulunur:

C:\Windows\System32\winevt\logs

Bu konumda, farklı türlerdeki log dosyalarını görebiliriz. Bu dosyalar, uygulama çalıştırma, güvenlik olayları, sistem hataları gibi önemli bilgileri içerir.

Temel Log Türleri

Windows Event Log, genel olarak üç ana kategoriye ayrılır:

  • Security Log: Kimlik doğrulama ve güvenlik olayları ile ilgili bilgiler içerir. Örneğin, başarılı kullanıcı girişleri için kritik bir olay kimliği 4624 olarak bilinir.
  • System Log: Donanım ve sistemle ilgili olayları kaydeder. Sistem bileşenlerinin durumu ve performansı hakkında bilgi verir.
  • Application Log: Uygulama aktivitelerini kapsar. Uygulamaların hata raporları ve diğer kritik durumları hakkında veri sağlar.

Bu log türleri, siber güvenlik analistlerinin olayları analiz etmelerine ve anormallikleri tespit etmelerine yardımcı olur.

EvtxECmd Aracı

Eric Zimmerman tarafından geliştirilen EvtxECmd, Windows Event Log dosyalarını analiz etmek için kullanışlı bir araçtır. Bu araç, log dosyalarını ayrıştırarak kullanıcıların verileri etkin bir şekilde incelemesine olanak tanır. EvtxECmd, hem komut satırında hem de GUI (grafiksel kullanıcı arayüzü) üzerinden kullanılabilir.

EvtxECmd Kullanımı

EvtxECmd aracını kullanmak için öncelikle aracı indirip kurmanız gerekmektedir. Kurulumdan sonra aşağıdaki komut ile log dosyalarınızı analiz edebilirsiniz:

evtxecmd.exe -d C:\Windows\System32\winevt\logs

Bu komut, belirttiğiniz dizindeki tüm Event Log dosyalarını işler ve içerdikleri bilgileri ayrıştırır. Örneğin, bir kullanıcı giriş olayını incelemek istediğinizde, ilgili logları filtreleyerek yalnızca gerekli verileri görüntüleyebilirsiniz.

Event Log Forensic Avantajları

Event loglar, birçok avantaj sağlayarak siber güvenlik analistlerinin işlerini kolaylaştırır. İlk olarak, loglar bilgi güvenliği olaylarının merkezi bir kaydını sunar. Bu, olası saldırılara karşı tehdit avcılığı sürecinde kritik öneme sahiptir. İkinci olarak, event loglar IOC (Indicator of Compromise) çıkarımı için temel bir kaynak oluşturur; bu sayede şüpheli aktiviteler kolaylıkla tespit edilebilir. Ayrıca, zaman çizelgesi oluşturarak olayların sırasını belirlemek de mümkündür. Bu bilgiler, güvenlik olaylarının daha iyi anlaşılmasını sağlar.

Critical Event IDs

Her bir logda önemli olaylarla ilgili kimlikler bulunmaktadır. Bu olay kimlikleri, analistlerin belirli durumları hızlı bir şekilde tanımlamalarını sağlar. Örneğin:

  • Olay ID 4624: Başarılı bir kullanıcı girişini belirtir.
  • Olay ID 4648: Belirli bir kullanıcı adı ile oturum açılmaya çalışıldığını gösterir.

Bu kritik olay kimlikleri, tehdit avcılığında ve forensic analiz süreçlerinde büyük önem taşır.

Threat Hunting Süreci

Threat hunting, siber güvenlikte sürekli olarak tehditleri tanımlama, analiz etme ve ortadan kaldırma sürecidir. Event loglar, bu süreçte önemli bir rol oynamaktadır. Analistler, loglar üzerinden IOCları ve anormal davranışları inceleyerek potansiyel tehditleri keşfederler. Ayrıca, geçmiş log kayıtları ile karşılaştırma yaparak mevcut durumun geçmişten nasıl değiştiğini de anlayabilirler.

Log analizinde dikkat edilmesi gereken noktalar şunlardır:

  • Logların süresiz saklanması.
  • Logların sürekli olarak izlenmesi.
  • Log temizleme ve veri kaybı risklerinin göz önünde bulundurulması.

Anti-Forensics Riskleri

Event log analizi, bazı riskleri de beraberinde getirir. Anti-forensics teknikleri kullanılarak, saldırganlar logları temizleyebilir veya değiştirebilir. Bu durum, eski kayıtların kaybolmasına ve önemli olayların gözden kaçmasına neden olabilir. Dolayısıyla, güvenlik analistlerinin sürekli olarak logların bütünlüğünü kontrol etmeleri ve kaybolan verileri geri kazandırma stratejileri geliştirmeleri önemlidir.

SOC (Security Operations Center) analistleri, bu riskleri minimize etmek için etkili stratejiler geliştirmeli ve olay bazlı analizlere odaklanmalıdır.

Risk, Yorumlama ve Savunma

Siber güvenlik açısından, Event Log (Olay Kaydı) analizi, sistemlerin güvenliğini sağlamak için kritik bir rol oynar. Windows sistemlerinde, olay kayıtları, güvenlik olayları, uygulama aktiviteleri ve sistem olayları gibi birçok bilgiyi içeren merkezi kayıt sistemleridir. Bu kayıtların analizi, yanlış yapılandırmaların veya sistemdeki zafiyetlerin tespit edilmesi için önemlidir.

Elde Edilen Bulguların Güvenlik Anlamı

Event loglar, siber saldırıların izlerini tespit etmede etkili bir araçtır. Örneğin, 4624 ID numarasına sahip olay kayıtları, başarılı kullanıcı oturum açma işlemlerini bildirir. Bu tür kayıtlar, şüpheli kullanıcı aktivitelerini ortaya çıkarmakta yardımcı olabilir. Eğer bir sistemde beklenmeyen bir başarıyla oturum açma olayı gözlemlenirse, bu potansiyel bir güvenlik ihlali olarak değerlendirilmelidir.

Güvenlik açısından önemli olan bir diğer nokta ise olay kayıtlarının doğru bir şekilde korunması ve analiz edilmesidir. Eğer bir sistemde log temizleme veya log yazma işlemleri düzgün yapılandırılmamışsa, bu durum saldırganlar için önemli bir avantaj sağlayabilir. Çünkü kayıtların silinmesi veya üzerine yazılması, şüpheli aktivitelerin izlenmesini zorlaştırır.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar, sistem güvenliğini tehlikeye atabilir. Örneğin, bir organizasyon loglarının belirli bir süre sonunda otomatik olarak silinmesini ayarlamışsa, bu durum kritik güvenlik olaylarının kaybolmasına yol açabilir. Bu tür bir yapılandırma, saldırganların logları temizleme ihtiyacını ortadan kaldırabilir, dolayısıyla gerçekleştirilen bir saldırının izleri kalmayabilir.

Buna karşılık, zafiyetler de sistemin güvenliğini tehdit eden faktörler arasında yer alır. Eğer bir işletim sisteminde güncel yamalar uygulanmamışsa, bu durum güncel saldırı tekniklerine karşı savunmasız hale gelmesine neden olabilir. Herhangi bir başarısız oturum açma girişimi (örneğin, 4625 ID numaralı olay) durumunda, bu girişimlerin analizi, zafiyet tespiti için kritik öneme sahiptir.

Sızan Veri, Topoloji ve Servis Tespiti

Event log analizinin bir diğer önemli boyutu, sızan verilerin ve sistem topolojilerinin tespitidir. Hizmetlerin doğru şekilde çalışıp çalışmadığını belirlemek için logların değerlendirilmesi gereklidir. Örneğin, herhangi bir hizmetin aniden durması veya hatalı çalıştığına dair olay kayıtları tespit edildiğinde, bu durum hemen ele alınmalıdır. Olası bir DDoS saldırısı veya hizmet kesintisine yönelik bir saldırı girişimi, bu tür kayıtlar ile hızlıca tespit edilebilir.

Bu bağlamda, Threat Hunting (Tehdit Avcılığı) süreci, logların analiziyle gerçekleştirilir. Tehdit avcıları, kayıtları kullanarak kötü niyetli aktivitelerin izini sürer. Örneğin:

evtxecmd.exe -d c:\windows\system32\winevt\logs

Yukarıdaki komut, Windows event log dosyalarını analiz etmek için kullanılan bir araçtır. Bu tür bir analiz, var olan zafiyetlerin ve aktif tehditlerin tespit edilmesine yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Event log analizi sırasında elde edilen bulgular doğrultusunda bazı profesyonel önlemler alınabilir. Öncelikle, log kayıtlarının düzgün bir şekilde saklanması ve analizi için gereken sistem yapılandırmalarının yapılması esastır. Aşağıda bazı hardening önerileri bulunmaktadır:

  • Log Saklama Süresi Ayarlamaları: Logların belirli bir süre boyunca saklanması sağlanmalı, günlüklerin kaybolması riski en aza indirilmelidir.
  • Otomatik Uyarı Sistemleri: Belirlenen kritik olaylara (örneğin, başarısız girişi ifade eden 4625) karşı otomatik uyarı sistemleri oluşturulmalıdır.
  • Güncellemeleri Takip Etme: Sistem ve yazılımların güncellemeleri düzenli aralıklarla kontrol edilmelidir. Yanlış yapılandırmaların tespit edilmesi ve düzeltilmesi gerekir.
  • Sistem Erişim Kontrolleri: Logların korunması için erişim kontrol politikaları oluşturulmalı ve uygulanmalıdır.

Sonuç Özeti

Event log analizi, siber güvenlikte saldırıların tespiti ve yanlış yapılandırmalardan kaynaklanabilecek zafiyetlerin belirlenmesi için hayati bir öneme sahiptir. Elde edilen bulguların güvenlik anlamı, doğru yorumlama ve proaktif savunma stratejileri ile artırılmalıdır. Belirli önlemler alarak ve sistemlerinizi sürekli gözden geçirerek, güvenlik riskleri minimize edilebilir ve olası saldırılara karşı daha dirençli bir yapı oluşturulabilir.