Tüm Event ID'ler
Event ID Referans

Event ID 4720: Kullanıcı Oluşturma

Active Directory veya yerel makinede yeni kullanıcı hesabı oluşturulduğunda kaydedilir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4720, bir kullanıcı hesabı oluşturulduğunda Windows Security loguna yazılır. Saldırganlar, sisteme kalıcı erişim (persistence) sağlamak için gizli arka kapı hesapları oluştururlar. ACKLOG, onaylanmamış hesap oluşturma işlemlerini anlık tespit eder.

TEKNİK ÖZET & KRİTERLER
Yeni oluşturulan hesabın kullanıcı adı, SID ve oluşturan admin bilgisi loglanır.
Mesai dışı saatlerde oluşturulan hesaplar otomatik alarm üretir.
AD dışında yerel makinede oluşturulan hesaplar ayrıca işaretlenir.
Oluşturma sonrası hemen admin grubuna ekleme (4728/4732) korelasyonu.

Event ID 4720 ve Persistence Saldırıları

Bir siber saldırgan sisteme ilk erişimi elde ettikten sonraki en kritik adım, kalıcı erişim (persistence) sağlamaktır. Bunun en yaygın yolu, yeni bir kullanıcı hesabı oluşturmak ve bu hesaba yönetici yetkileri vermektir.

Tehdit Senaryosu

Saldırgan, ele geçirdiği admin yetkisiyle gece 03:00'da "svc_backup" gibi meşru görünen bir servis hesabı oluşturur. Ardından bu hesabı Domain Admins grubuna ekler. Ertesi gün kendi erişimi kesilse bile, oluşturduğu arka kapı hesabı üzerinden sisteme dönebilir.

ACKLOG Korelasyon Zinciri

ACKLOG, şu olayları zincirleme olarak izler: Event ID 4720 (hesap oluşturma) → Event ID 4728 veya 4732 (gruba ekleme) → Event ID 4624 (yeni hesapla giriş). Bu üç olay kısa süre içinde gerçekleşirse, "Persistence Saldırısı" alarmı üretilir.

DEĞERLENDİRME & SONUÇ

Yetkisiz kullanıcı hesabı oluşturma, saldırganların sisteme kalıcı erişim sağlama tekniğidir. ACKLOG, bu olayları oluşturan kişi ve zaman bazında analiz ederek şüpheli hesap oluşturmalarını anında yakalar.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

ACKLOG, onaylı IT yöneticilerini ve iş saatlerini beyaz listeye alır. Yalnızca tanımsız kaynaklardan veya anormal saatlerde oluşturulan hesaplar alarm üretir.