Tüm Event ID'ler
Event ID Referans

Event ID 4663: Dosya Erişim İzleme

Denetlenen bir dosya veya klasöre erişildiğinde oluşur. Veri sızıntısı önleme (DLP) için temel olaydır.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4663, Windows SACL (System Access Control List) ile denetlenen bir nesneye (dosya, klasör, registry anahtarı) erişildiğinde oluşturulur. ACKLOG, hassas dosya paylaşımlarına (finans verileri, HR kayıtları, müşteri veritabanları) yapılan erişimleri izleyerek toplu dosya kopyalama gibi veri sızıntısı girişimlerini tespit eder.

TEKNİK ÖZET & KRİTERLER
Erişilen nesne yolu, erişim türü (okuma/yazma/silme) ve kullanıcı bilgisi loglanır.
Kısa sürede çok sayıda dosya erişimi → Toplu veri kopyalama alarmı.
Mesai dışı saatlerde hassas klasörlere erişim otomatik işaretlenir.
USB'ye yazma veya bulut senkronizasyonu ile korelasyon kurulur.

Dosya Erişim İzleme ve İç Tehdit

Kurumsal verilerin en büyük tehditlerinden biri, yetkili kullanıcıların kasıtlı veya kazara veri sızdırmasıdır (insider threat). Event ID 4663, Windows dosya sistemi denetimi (File System Auditing) etkinleştirildiğinde, izlenen dosyalara her erişimde oluşturulur.

Veri Sızıntısı Senaryosu

Bir çalışan, işten ayrılmadan önce müşteri veritabanını USB belleğe kopyalamak için dosya paylaşımındaki yüzlerce dosyaya peş peşe erişir. Normal günlük erişim kalıbı 10-20 dosya iken, sızıntı girişiminde bu sayı yüzlerce veya binlerce olabilir.

ACKLOG Tespit Kuralları

ACKLOG, kullanıcıların dosya erişim profillerini (baseline) oluşturur. Bir kullanıcı normal profilinin 5 katından fazla dosyaya eriştiğinde, "Anormal Dosya Erişimi" alarmı üretilir.

DEĞERLENDİRME & SONUÇ

Dosya erişim izleme, iç tehdit (insider threat) ve veri sızıntısı önlemenin temel bileşenidir. ACKLOG, Event ID 4663'ü kullanıcı davranış profilleriyle karşılaştırarak anormal erişim kalıplarını otomatik tespit eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Hayır, yalnızca Windows SACL ile denetlemeye alınan dosya ve klasörlerdeki erişimler Event ID 4663 olarak loglanır. Hassas veriler içeren paylaşımları seçerek denetlemeye almanız önerilir.