Tüm Event ID'ler
Event ID Referans

Event ID 4688: Süreç Oluşturma

Sistemde çalıştırılan her yeni süreç (process) bu Event ID ile kaydedilir. Zararlı yazılım tespiti için vazgeçilmezdir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4688, Windows'ta yeni bir süreç (process) oluşturulduğunda kaydedilir. Command Line Auditing etkinleştirildiğinde, çalıştırılan komutun tam metni de loglanır. ACKLOG, powershell.exe -enc, certutil.exe -decode, mshta.exe gibi şüpheli komut kalıplarını otomatik tespit eder.

TEKNİK ÖZET & KRİTERLER
Process Command Line: Çalıştırılan komutun tam metni (audit policy gerekir).
Parent Process ID: Süreci başlatan ana sürecin kimliği (process tree).
Şüpheli süreç adları: powershell.exe, cmd.exe, wscript.exe, mshta.exe izleme.
Living-off-the-Land (LOLBins) saldırı tekniklerinin tespiti.

Süreç İzleme ve Zararlı Komut Tespiti

Modern siber saldırılar, çoğunlukla sistemde zaten var olan meşru araçları (Living-off-the-Land Binaries / LOLBins) kötüye kullanarak gerçekleştirilir. PowerShell, certutil, mshta, regsvr32 gibi Windows araçları saldırganlar tarafından zararlı payload indirmek ve çalıştırmak için kullanılır.

Command Line Auditing

Windows Audit Policy'de "Include command line in process creation events" ayarı etkinleştirildiğinde, Event ID 4688 logları çalıştırılan komutun tam metnini içerir. Bu, tehdit avcılığı (threat hunting) için en değerli veri kaynağıdır.

ACKLOG Tespit Kuralları

ACKLOG, şu komut kalıplarını otomatik olarak şüpheli işaretler: Base64 encoded PowerShell komutları (-enc, -encodedcommand), certutil ile dosya indirme, mshta ile uzak script çalıştırma, regsvr32 ile DLL yükleme (Squiblydoo tekniği).

DEĞERLENDİRME & SONUÇ

Event ID 4688 ve Command Line Auditing, modern siber güvenliğin temel taşıdır. ACKLOG, bu verileri MITRE ATT&CK teknikleriyle eşleştirerek zararlı yazılım ve LOLBins saldırılarını anında tespit eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Ek log hacmi oluşturur ancak modern donanımlarda performans etkisi ihmal edilebilir düzeydedir. Güvenlik kazanımı, performans maliyetinden çok daha değerlidir.