Tüm Event ID'ler
Event ID Referans

Event ID 4672: Admin Yetkisi Atanması

Bir kullanıcıya yönetici düzeyinde ayrıcalık verildiğinde oluşur. Privilege escalation tespiti için kritiktir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4672, bir oturum açma işlemi sırasında kullanıcıya SeDebugPrivilege, SeBackupPrivilege gibi yönetici düzeyinde ayrıcalıklar atandığında oluşturulur. Normal kullanıcılarda bu olay görülmemelidir. ACKLOG, admin dışı hesaplarda 4672 olayı tespit ettiğinde otomatik privilege escalation alarmı üretir.

TEKNİK ÖZET & KRİTERLER
SeDebugPrivilege: İşlem belleğine erişim yetkisi (mimikatz gibi araçlar kullanır).
SeBackupPrivilege: Tüm dosyalara okuma yetkisi (veri sızdırma riski).
SeTakeOwnershipPrivilege: Herhangi bir nesnenin sahipliğini alma yetkisi.
Admin dışı kullanıcıda 4672 → Privilege Escalation alarmı.

Event ID 4672 ve Yetki Yükseltme

Windows işletim sisteminde bir kullanıcı oturum açtığında, hesabına atanmış özel ayrıcalıklar (privileges) kontrol edilir. Eğer kullanıcıya yönetici düzeyinde ayrıcalıklar atanmışsa, Event ID 4672 kaydedilir.

Kritik Ayrıcalıklar

SeDebugPrivilege: Bu ayrıcalık, çalışan işlemlerin bellek alanına erişim sağlar. Saldırganlar, mimikatz gibi araçlarla bu yetkiyi kullanarak bellekteki şifreleri çalar (credential dumping).

SeImpersonatePrivilege: Başka bir kullanıcının kimliğine bürünme yetkisi. Token impersonation saldırılarında kullanılır.

ACKLOG ile İzleme Stratejisi

ACKLOG, organizasyondaki kullanıcıları profiller ve hangi hesapların admin yetkisine sahip olması gerektiğini öğrenir (baseline). Normal profili dışında bir hesapta 4672 olayı görüldüğünde, bu durumu yetki yükseltme girişimi olarak değerlendirir ve alarm üretir.

DEĞERLENDİRME & SONUÇ

Event ID 4672, yetki yükseltme saldırılarının (privilege escalation) en güvenilir göstergesidir. ACKLOG, bu olayları kullanıcı profilleriyle karşılaştırarak yalnızca anormal yetki atamalarında alarm üretir.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Evet, Domain Admin veya yerel admin hesaplarıyla her oturum açmada 4672 kaydedilir. ACKLOG, bilinen admin hesaplarını beyaz listeye alarak yalnızca beklenmeyen yetki atamalarında alarm üretir.