Tüm Event ID'ler
Event ID Referans

Event ID 4698: Zamanlanmış Görev

Yeni bir Scheduled Task oluşturulduğunda kaydedilir. Saldırganların zamanlayıcı ile kalıcılık sağlama yöntemi.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4698, Windows Task Scheduler üzerinden yeni bir zamanlanmış görev oluşturulduğunda kaydedilir. Saldırganlar, zararlı komutları belirli aralıklarla çalıştırmak veya uzak makinelerde kod yürütmek (lateral movement) için scheduled task kullanır. ACKLOG, onaylanmamış görev oluşturma işlemlerini anlık tespit eder.

TEKNİK ÖZET & KRİTERLER
Görev adı, çalıştırılacak komut ve zamanlama bilgisi loglanır.
Uzak makinede oluşturulan görevler lateral movement göstergesidir.
PowerShell veya cmd ile script çalıştıran görevler otomatik işaretlenir.
SYSTEM yetkisiyle oluşturulan görevler özel dikkatle izlenir.

Zamanlanmış Görevler ve Saldırı Senaryoları

Windows Task Scheduler, belirli zamanlarda veya tetikleyicilere göre komut çalıştırmak için kullanılır. Saldırganlar bu mekanizmayı iki ana amaçla kullanır: kalıcılık (persistence) sağlamak ve ağdaki diğer makinelere yayılmak (lateral movement).

Lateral Movement ile Scheduled Task

Saldırganlar, ele geçirdikleri admin yetkisiyle ağdaki diğer makinelerde uzaktan zamanlanmış görev oluşturabilir (schtasks /create /s REMOTE-PC). Bu teknik, MITRE ATT&CK'ta T1053.005 olarak sınıflandırılır.

ACKLOG Tespit Yaklaşımı

ACKLOG, yeni oluşturulan her zamanlanmış görevi şu kriterlere göre değerlendirir: görev oluşturan kullanıcı yetkili mi, görev uzak bir makinede mi oluşturuldu, çalıştırılacak komut şüpheli pattern içeriyor mu, görev SYSTEM yetkisiyle mi çalışacak.

DEĞERLENDİRME & SONUÇ

Zamanlanmış görevler, hem persistence hem de lateral movement için kullanılan güçlü bir saldırı tekniğidir. ACKLOG, Event ID 4698'i görev içeriği ve oluşturma bağlamı ile analiz ederek meşru IT operasyonlarını saldırılardan ayırt eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

ACKLOG, onaylı IT kullanıcılarını ve bilinen görev adlarını beyaz listeye alır. Yalnızca tanımsız kaynaklardan gelen veya şüpheli komut içeren görevlerde alarm üretir.