Tüm Event ID'ler
Event ID Referans

Event ID 4728: Gruba Üye Ekleme

Active Directory güvenlik grubuna (Domain Admins, Enterprise Admins vb.) yeni üye eklendiğinde oluşur.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4728, Active Directory'deki bir güvenlik grubuna (security-enabled global group) yeni bir üye eklendiğinde kaydedilir. Özellikle Domain Admins, Enterprise Admins gibi kritik gruplara ekleme yapılması, yetki yükseltme saldırısının güçlü bir göstergesidir. ACKLOG, kritik gruplardaki değişiklikleri anlık alarm olarak raporlar.

TEKNİK ÖZET & KRİTERLER
Eklenen üye, hedef grup ve işlemi yapan admin bilgisi loglanır.
Domain Admins, Enterprise Admins değişikliklerinde kritik alarm üretilir.
Mesai dışı veya onay sürecisiz ekleme işlemleri otomatik işaretlenir.
Event ID 4729 (üye çıkarma) ile korelasyon kurularak geçici yetki istismarı tespiti.

AD Güvenlik Grupları ve Yetki Yükseltme

Active Directory güvenlik grupları, organizasyondaki erişim yetkilerini belirler. Domain Admins grubuna eklenen bir kullanıcı, tüm alan üzerinde tam yetki kazanır. Bu nedenle, güvenlik gruplarındaki değişiklikler en sıkı şekilde izlenmelidir.

Golden Ticket Senaryosu

Gelişmiş saldırılarda, saldırgan krbtgt hesabının hash'ini ele geçirerek Domain Admin yetkisi kazanabilir ve kendisini gizlice gruplara ekleyebilir. ACKLOG, beklenmeyen grup değişikliklerini tespit ederek bu tür saldırıları ortaya çıkarır.

DEĞERLENDİRME & SONUÇ

Kritik güvenlik gruplarına yapılan yetkisiz ekleme, saldırganların Domain Admin seviyesine yükselmesinin en doğrudan yoludur. ACKLOG, bu olayları değişiklik yönetimi (change management) süreçleriyle karşılaştırarak onaysız değişiklikleri anında yakalar.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Event ID 4728 global güvenlik grubuna (Domain Admins gibi), 4732 ise yerel güvenlik grubuna (Administrators gibi) üye eklenmesini kaydeder.