Tüm Event ID'ler
Event ID Referans

Event ID 4625: Başarısız Oturum Açma

Brute force saldırılarının en önemli göstergesi. Kısa sürede çok sayıda 4625 olayı alarm sebebidir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4625, Windows'ta bir oturum açma girişiminin başarısız olduğunda üretilir. Sub Status kodu, hatanın nedenini belirtir: yanlış şifre (0xC000006A), var olmayan kullanıcı (0xC0000064) veya kilitli hesap (0xC0000234). ACKLOG, 5 dakika içinde aynı kaynaktan 10+ başarısız deneme geldiğinde otomatik brute force alarmı üretir.

TEKNİK ÖZET & KRİTERLER
Sub Status 0xC000006A: Yanlış şifre ile giriş denemesi.
Sub Status 0xC0000064: Var olmayan kullanıcı adıyla deneme (user enumeration).
Sub Status 0xC0000234: Kilitlenmiş hesaba giriş denemesi.
5 dakikada 10+ başarısız deneme → Brute Force alarm kuralı.

Event ID 4625 ve Brute Force İlişkisi

Başarısız oturum açma denemeleri, siber saldırıların en erken göstergesidir. Bir saldırgan, çalınmış kullanıcı listesiyle (credential stuffing) veya şifre tahmin sözlüğüyle (brute force) sisteme giriş yapmaya çalıştığında, her başarısız deneme Event ID 4625 olarak kaydedilir.

Sub Status Kodlarının Analizi

0xC000006A (STATUS_WRONG_PASSWORD): Kullanıcı adı doğru ancak şifre yanlış. Saldırganın geçerli bir kullanıcı adı bildiğini gösterir – bu ciddi bir risk işaretidir.

0xC0000064 (STATUS_NO_SUCH_USER): Var olmayan kullanıcı adıyla deneme. Saldırganın kullanıcı adlarını taradığını (user enumeration) gösterir.

0xC0000072 (STATUS_ACCOUNT_DISABLED): Devre dışı bırakılmış hesaba giriş denemesi. Eski çalışan hesaplarının hedef alınması söz konusu olabilir.

ACKLOG Brute Force Korelasyon Kuralı

ACKLOG, aşağıdaki korelasyon mantığını yerleşik olarak uygular: Aynı kaynak IP'den, 5 dakika içinde, 10 veya daha fazla Event ID 4625 olayı gelirse → Brute Force Alarm üret. Alarm, kaynak IP'yi otomatik olarak izleme listesine ekler ve ardından bu IP'den gelen bir 4624 (başarılı giriş) olayı tespit edilirse → Hesap Ele Geçirme (Account Compromise) kritik alarmı yükseltilir.

Örnek Log Çıktısı

An account failed to log on.
Subject:
  Security ID: NULL SID
Logon Type: 3
Account For Which Logon Failed:
  Account Name: administrator
  Sub Status: 0xC000006A
Network Information:
  Source Network Address: 203.0.113.50
  Source Port: 49521
DEĞERLENDİRME & SONUÇ

Event ID 4625, siber güvenlikte en kritik olay kimliklerinden biridir. ACKLOG'un yerleşik brute force korelasyon kuralı, bu olayları kaynak IP ve hedef kullanıcı bazında gruplayarak saldırıları yayılmadan tespit eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

ACKLOG varsayılan kuralı, 5 dakika içinde aynı kaynaktan 10+ başarısız deneme geldiğinde alarm üretir. Bu eşik değerler, kurumunuzun ihtiyacına göre özelleştirilebilir.

ACKLOG, servis hesapları ve bilinen iç ağ kaynaklarını beyaz listeye almanıza olanak tanır. Böylece yalnızca gerçek tehdit göstergeleri alarm üretir.