Windows ortamlarında güvenlik olaylarının büyük bölümü Event Log kanallarına kaydedilir. Sistem yöneticileri olarak bu logları doğru okumak, olay müdahale süresini doğrudan etkiler.
Hangi log kanallarına bakmalı?
Security, System ve Application kanalları temel başlangıç noktalarıdır. Özellikle Security kanalındaki 4624 (başarılı giriş), 4625 (başarısız giriş), 4663 (dosya erişimi) ve 1102 (log temizleme) olayları kritik önem taşır.
.evtx dosyalarını analiz etmek
Audit Log Analyzer projemde .evtx dosyalarını otomatik parse ederek dosya erişim, silme ve açma işlemlerini görselleştirdim. Manuel Event Viewer taraması yerine filtreleme ve arama özellikleri operasyonel verimi ciddi ölçüde artırır.
Pratik öneriler
- Log retention politikasını en az 90 gün olarak planlayın
- Kritik sunucularda merkezi log toplama kullanın
- Anomali tespiti için baseline (normal davranış) oluşturun
- CEH metodolojisindeki olay analiz adımlarını operasyonel sürece entegre edin