CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Windows Olay Günlükleri Yapısının Derinliklerine İnin

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Windows olay günlüklerinin yapısını ve önemini öğrenin, siber güvenlikte etkili analiz için gerekli bilgileri edinin.

Windows Olay Günlükleri Yapısının Derinliklerine İnin

Windows olay günlükleri, sistemin güvenliğini sağlamak için kritik bir rol oynar. Bu blog yazısında, gerekli temel bilgileri ve göz önünde bulundurulması gereken noktaları keşfedin.

Giriş ve Konumlandırma

Windows işletim sistemleri, kullanıcı ve sistem etkileşimleri hakkında detaylı veri toplamak için kapsamlı bir olay günlükleme mekanizması sunar. Bu günlükler, çeşitli sistem olaylarını, güvenlik denetimlerini ve uygulama etkinliklerini kapsayan önemli bilgilerdir. Windows olay günlüklerinin yapısını anlamak, siber güvenlik uzmanları, ağ analistleri ve pentesterler için oldukça kritiktir. Bu makalede, Windows olay günlüklerinin temel yapısını ele alarak, bu verilerin örtüsünü aralayacak ve neden bu kadar önemli olduklarına dair bir anlayış geliştireceğiz.

Öncelikle, Windows olay günlükleri, sistemde meydana gelen olayların kayıt altına alındığı bilgi havuzlarıdır. Bu veriler, sadece hata ayıklamakla kalmayıp, aynı zamanda bir sistemin güvenliğinin sağlanmasında, olayların izlenmesinde ve olağanüstü durumların tespit edilmesinde de önemli bir rol oynamaktadır. Siber güvenlik perspektifinden bakıldığında, olay günlükleri, kötü niyetli aktiviteleri izlemek, sistemin güvenlik durumunu değerlendirmek ve geçmişteki olayları incelemek için hayati bir kaynak sunmaktadır.

Bu bağlamda, olay günlüklerini incelemek; siber saldırıların izlerini sürmek, hizmet kesintilerine yol açan sorunları tespit etmek ve sistemdeki güvenlik açıklarını belirlemek için kritik bir beceridir. Olay günlüklerinin analizi, aynı zamanda bir SOC (Security Operations Center) analistinin günlük görevlerinin önemli bir parçasını oluşturur. Analistler, olay günlüğü verilerini kullanarak, tehditleri tespit etme, yanıt verme ve önleyici tedbirler alma konularında derinlemesine bilgi sahibi olabilirler.

Windows Olay Günlüklerinin Yapısı

Windows olay günlükleri, düz metin yerine ikili formatta saklanır. Bu özellik, günlük dosyalarının hem diskte daha az yer kaplamasını sağlar hem de hızlı bir şekilde sorgulanabilmesine olanak tanır. Günlük dosyaları, .evtx uzantısına sahiptir ve genellikle C:\Windows\System32\winevt\Logs dizininde yer alır. Bu yapı, günlük verilerinin daha verimli bir şekilde işlemesini mümkün kılar.

Olay günlüklerini incelemek için kullanılan temel araç, Windows’un kendi içinde bulunan “Event Viewer” (Olay Görüntüleyicisi) aracıdır. Bu araç, ikili formatta saklanan verileri anlamlı bir şekilde görüntüleyerek, kullanıcıların olay günlüğü kayıtlarının detaylarını kolayca incelemelerine imkan tanır. Olayları ayırt etmek ve analiz etmek için logların çeşitli kanallara ayrıldığını belirtmek önemlidir. Bu yapı, farklı olay türlerinin ayrı kategorilere yerleştirilmesiyle daha net bir görünürlük sağlar.

Olay günlüklerinin arka planda kullanılan dil ise XML tabanlı bir yapıdır. HER bir Windows logu, standart bilgiler ve olayın özeline dair verileri içeren belirli bir hiyerarşik yapıdadır. Bu, SIEM (Security Information and Event Management) sistemleri için verilerin hızlı bir şekilde işlenmesini sağlar. Örneğin, bir logun yapısı aşağıdaki gibi olabilir:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" />
        <EventID>4624</EventID>
        <TimeCreated SystemTime="2022-10-12T04:51:37.511Z" />
    </System>
    <EventData>
        <Data Name="TargetUserName">User123</Data>
        <Data Name="IpAddress">192.168.1.100</Data>
    </EventData>
</Event>

Bu örnekte, <System> kısmı logun genel bilgilerini sağlar; <EventData> kısmı ise olayla ilgili spesifik detayları içerir. Bu veriler, sistemin işleyişi ve kullanıcı etkileşimleri hakkında önemli bilgiler sunar.

Olay Günlüklerinin Önemi

Windows olay günlüklerinin analizi, siber güvenliğin yanı sıra pentest süreçlerinde de kritik bir rol oynar. Penetrasyon testlerinde, bir sistemin güvenlik seviyesini değerlendirmek ve olası açıklarını ortaya çıkarmak için derinlemesine analiz gereklidir. Olay günlükleri, bu süreçte olası saldırı vektörlerini ve zafiyetleri tanımlamak için kullanılır.

Bu verilerin analizinde dikkate alınması gereken bir diğer önemli nokta, logların önem derecelerinin (Levels) belirlenmesidir. Güvenlik analistleri, logları incelerken, öncelikle kritik ve hata seviyesindeki kayıtlara odaklanmalıdır. Bu önceliklendirme, yanlış alarmları ayıklamak ve hayati bilgilerin gözden kaçmasını önlemek için önemlidir.

Sonuç olarak, Windows olay günlüklerinin yapısını anlamak, güvenlik operasyonlarının etkinliği açısından hayati bir adım olarak karşımıza çıkmaktadır. Bu günlüklerin incelenmesi, sistem güvenliğini sağlamak, siber saldırılara karşı önlem almak ve olayların izlenmesi için kritik bir araçtır. İzine odaklanarak, doğru bilgiye ulaşacak ve siber tehditleri etkin bir şekilde yönetebileceksiniz.

Teknik Analiz ve Uygulama

Windows Log Dosyası Formatı

Windows işletim sistemlerinde olay günlükleri, düz metin dosyaları yerine ikili (binary) formatta saklanır. Bu yaklaşım, hem daha az disk alanı kaplamasını hem de yüksek hızda sorgulanabilmesini sağlar. Windows log dosyalarının uzantısı .evtx şeklindedir ve bu dosyalar C:\Windows\System32\winevt\Logs dizininde yer alır. İkili format, verinin daha hızlı bir şekilde işlenmesine olanak tanırken, aynı zamanda log bütünlüğünü korumak adına doğrudan müdahaleyi engeller.

C:\Windows\System32\winevt\Logs\System.evtx

Windows'un log formatı, SIEM (Security Information and Event Management) sistemleri için kritik öneme sahiptir çünkü bu sistemler, olayları izlemek ve analiz etmek için bu log dosyalarındaki verileri kullanır. Dolayısıyla, .evtx formatındaki logların doğru bir şekilde analizi, güvenlik olaylarının takip edilmesi açısından hayati önem taşır.

Görüntüleme Aracı: Event Viewer

Windows loglarını incelemek için kullanılan temel araç, Event Viewer (Olay Görüntüleyicisi) uygulamasıdır. Bu yazılım, ikili verileri anlamlı bir biçimde tablo haline getirerek kullanıcıların logları daha etkili bir şekilde analiz etmesine olanak tanır. Event Viewer aracılığıyla farklı log kanallarını görüntüleyebilir ve arama/filterleme seçeneklerini kullanarak spesifik olayları inceleyebilirsiniz.

Event Viewer Kullanım Örneği

Event Viewer'ı açmak için Windows tuşu + R kombinasyonu ile eventvwr.msc komutunu çalıştırabilirsiniz. Burada güvenlik, sistem ve uygulama logları gibi çeşitli kanallara erişim sağlayabilirsiniz. Örneğin, güvenlik logları üzerinden belirli bir kullanıcı oturum açma olayını araştırmak için şu adımları takip edebilirsiniz:

Event Viewer > Windows Logs > Security

Buradan, loglar arasındaki sıralama, filtreleme ve detay inceleme gibi işlemleri gerçekleştirebilirsiniz.

Temel Kanallar: Nereye Bakmalı?

Windows logları, karmaşayı önlemek amacıyla "Kanallar" (Channels) olarak adlandırılan ana kategorilere ayrılır. Her kanal, farklı türde olayları içerir ve analistlere farklı bir görünürlük sağlar. Temel log kanalları şunlardır:

  • Security (Güvenlik): Oturum açma, dosya erişimi ve yetki kullanımına dair kayıtları içerir.
  • System (Sistem): Sürücü hataları, servislerin başlaması veya durması gibi işletim sistemi olaylarını barındırır.
  • Application (Uygulama): Yüklü uygulamalardan gelen spesifik log mesajlarını içerir.

Bu loglar arasındaki ilişkiyi anlamak, hangi alanda bir sorun olduğunun belirlenmesinde kritik rol oynar.

Arka Plandaki Dil: XML Yapısı

Windows logları, arka planda yapılandırılmış bir veri mimarisine sahiptir ve bu yapı normalde XML formatında sıralar. XML, yapılandırılmış verilerin kolayca analiz edilmesini sağlar. Logların analizi için bu hiyerarşik yapıyı anlamak önemlidir.

Bir Windows logunun XML yapısı iki ana bölümden oluşur:

  • : Her logda bulunan standart bilgileri (zaman, Event ID vb.) içerir.
  • : Olay için spesifik detayları (hangi kullanıcı, hangi dosya yolu vb.) barındırır.

Örnek bir XML logu yapısı aşağıdaki gibi olabilir:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" />
    <EventID>4624</EventID>
    <TimeCreated SystemTime="2023-10-10T10:00:00Z" />
  </System>
  <EventData>
    <Data Name="SubjectUserName">USER01</Data>
    <Data Name="SubjectDomainName">DOMAIN</Data>
  </EventData>
</Event>

Bu yapının özellikleri, SIEM sistemlerinin veriyi hızlı bir şekilde işlemesini sağlar. Hiyerarşik yapı, logun her zaman tutarlı bir şekilde gelmesine olanak verir ki bu da analiz sürecini kolaylaştırır.

Seviyeler (Levels) ve Önceliklendirme

Windows logları, önemli olayların sınıflandırılmasında seviyelendirilir. Bu seviyeler, olayların ciddiyetine göre değişir ve tipik olarak "Information" (Bilgi), "Warning" (Uyarı), "Error" (Hata) ve "Critical" (Kritik) gibi etiketlere ayrılır. Bir SOC analisti sabah işe başladığında önce "Error" ve "Critical" seviyesindeki logları incelemelidir. Bu seviyelendirme, analiz sırasında hangi olayların daha öncelikli olduğuna karar vermekte yardımcı olur.

Seviyeler: 
- Information (Bilgi)
- Warning (Uyarı)
- Error (Hata)
- Critical (Kritik)

Bu yaklaşım, analistlerin zamandan tasarruf etmesini ve potansiyel sorunlara hızlı bir şekilde müdahale etmesini sağlar.

Özet: Yapısal Verinin Gücü

Windows loglarının yapısının derinlemesine anlaşılması, güvenlik olaylarını izlemek, yanlış alarmları bir araya ayıklamak ve karmaşık saldırı paternlerini belirlemek için kritik öneme sahiptir. Yapısal verinin bu gücü, etkin bir güvenlik yönetimi ve olay esaslı analiz için vazgeçilmezdir. SIEM sistemleri ile entegrasyon, bu logların doğru şekilde analiz edilmesinde önemli bir etki yaratır; bu nedenle, log yapılarını ve ilgili düzeyleri anlamak, güvenlik süreçlerinin etkinliğini artırmak için şarttır.

Risk, Yorumlama ve Savunma

Windows Olay Günlükleri (Event Logs), bir işletim sisteminin davranışını izlemekte kritik bir rol oynar. Doğru yorumlanmaları, güvenlik açıdan anlamlı bulgular elde edilmesini sağlar. Bu bölümde, Windows Olay Günlükleri’nin güvenlik bağlamında risk değerlendirmesine ve bu loglarla ilgili yapılacak savunma mekanizmalarına odaklanacağız.

Logların Güvenlik Anlamı

Windows Olay Günlükleri, kullanıcının işletim sistemindeki faaliyetlerini, olayları ve hataları kaydeder. Özellikle Güvenlik kanalı, oturum açma, dosya erişimi ve yetki kullanımı gibi kritik bilgileri içerir. Bu logları analiz ederek şunları belirleyebiliriz:

  • Anonim veya Yetkisiz Erişim: Belirli bir kullanıcının oturum açma denemeleri incelenerek, izinsiz giriş girişimleri tespit edilebilir.
  • Veri Sızıntısı: Uygulama logları aracılığıyla, kullanıcıların hangi verileri eriştiği ve bu verilerin dışarıya sızma olasılığı incelenebilir.

Yanlış yapılandırmalar ya da sistem zafiyetleri bu logların güvenliğini riske atabilir. Örneğin:

  • Güvenlik Duvarı Ayarları: Yanlış yapılmış ayarlar, dışarıdan gelen saldırılara karşı sistemin korunma kapasitesini azaltır.
  • Şifre Politikası: Zayıf şifrelerin kullanılması, yetkisiz erişim riskini artırır.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar veya sistemde bulunan zafiyetler, ciddi güvenlik açıklarına yol açabilir. Örneğin, Windows’taki Olay Günlükleri'nin yazılma önceliği yeterince sıkı bir politika ile korunmuyorsa, saldırganlar logları manipüle ederek izlerini gizleyebilir. Bunun yanı sıra, zayıf yapılandırmalar:

  • Veri Kaybı: Yetersiz loglama, kritik bir olay sonrasında veri kaybına yol açabilir.
  • Farkında Olmadan Tehdit Oluşturma: Olayların göz ardı edilmesi, sistemdeki tehditlerin fark edilmeden büyümesine sebep olabilir.

Aşağıda, bir log anlayışının sağlanması açısından dikkate almanız gereken bazı örnek log girişi bulunmaktadır:

<System>
   <Provider Name="Microsoft-Windows-Security-Auditing" />
   <EventID>4624</EventID>
   <TimeCreated SystemTime="2023-10-01T12:00:00Z" />
   <Computer>example-PC</Computer>
   <Security>User</Security>
</System>
<EventData>
   <Data Name="TargetUserName">exampleUser</Data>
   <Data Name="TargetDomainName">exampleDomain</Data>
</EventData>

Yukarıdaki log girişi, belirli bir kullanıcının oturum açma bilgilerini içeriyor. Bu bilgi, olası bir ihlali anlamak ve ele almak için kritik öneme sahiptir.

Sızan Verinin, Topolojinin ve Servis Tespitinin Anlatımı

Siber saldırılarda genellikle zararlı yazılımlar, mevcut açıkları kullanarak hedef sistemlere sızar. Log analizi, bu tür durumları tespit etmeye yarar. Örneğin, belirli bir sistemin loglarında, bir hizmetin herhangi bir dış IP adresinden erişim talep ettiğine dair bilgilerin tespit edilmesi, servislerin durumu ve potansiyel bir saldırı için bir uyarı sinyali niteliğindedir.

Bu verilerin analiz edilmesi aşağıdaki bazı yollarla gerçekleştirilebilir:

  • Topolojik Analiz: Ağ üzerindeki cihazların ilişkilerini inceleyerek, sızılmış verinin hangi cihazlardan geçtiğini belirlemek.
  • Anomalilerin Tespiti: Loglar üzerinden olağandışı aktivitelerin yakalanması.

Profesyonel Önlemler ve Hardening Önerileri

Olay günlüklerindeki riskleri azaltmak amacıyla alınabilecek bazı önlemler şunlardır:

  1. Güçlü Şifre Politikaları: Kullanıcıların güçlü ve karmaşık şifreler oluşturması teşvik edilmeli.
  2. Düzenli Log İncelemesi: Logların belirli aralıklarla analiz edilmesi, olası risklerin zamanında tespit edilmesine yardımcı olur.
  3. Güvenlik Güncellemeleri: Yazılımların ve işletim sisteminin sürekli güncel tutulması, bilinen zafiyetlerin kapatılmasına yardımcı olur.
  4. Erişim Kontrolleri: Kullanıcı hakları bilinçli şekilde verilmeli ve gereksiz erişimler engellenmelidir.

Sonuç

Windows Olay Günlükleri, doğru analiz edildiğinde işletim sisteminin güvenliğini sağlamada önemli bir yardımcıdır. Yanlış yapılandırmalar ve zafiyetler, saldırganlara fırsatlar sunabileceği için bu logların açıklığıyla ele alınması kritik öneme sahiptir. Siber güvenliğin sağlanması adına profesyonel önlemlerin alınması, olayların doğru bir şekilde yorumlanmasıyla birleştiğinde etkin bir savunma mekanizması oluşturur.