Tüm Event ID'ler
Event ID Referans

Event ID 4740: Hesap Kilitlenme

Bir kullanıcı hesabı kilitlendiğinde Domain Controller'da oluşur. Brute force'un sonuç göstergesidir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4740, Active Directory'de bir kullanıcı hesabı kilitlendiğinde Domain Controller üzerinde kaydedilir. Hesap kilitlenmeleri, brute force saldırısının başarılı sonucu veya kullanıcının eski şifresini kullanan bir uygulamanın varlığına işaret eder. ACKLOG, kilitleme kaynağını (Caller Computer Name) analiz ederek kök nedeni hızla belirlemenizi sağlar.

TEKNİK ÖZET & KRİTERLER
Kilitlenme kaynağını gösteren 'Caller Computer Name' alanı analiz edilir.
Aynı anda birden fazla hesap kilitlenirse toplu brute force alarmı üretilir.
Kilitlenme öncesi 4625 olaylarıyla korelasyon kurularak kaynak IP tespit edilir.
VIP kullanıcı hesaplarının kilitlenmesinde öncelikli alarm üretilir.

Hesap Kilitlenme: Saldırı mı, Yapılandırma Hatası mı?

Active Directory ortamlarında hesap kilitlenmeleri en sık karşılaşılan destek taleplerinden biridir. Kilitlenmenin kaynağı; bir brute force saldırısı, eski şifreyi kullanan bir mobil cihaz veya yanlış yapılandırılmış bir servis hesabı olabilir.

Kök Neden Analizi

ACKLOG, Event ID 4740 logundaki Caller Computer Name alanını kullanarak kilitlenmenin hangi makineden kaynaklandığını anında belirler. Bu bilgi, kilitlenmenin kaynağını dakikalar yerine saniyeler içinde bulmanızı sağlar.

Toplu Kilitlenme Senaryosu

Eğer 10 dakika içinde 5+ farklı kullanıcı hesabı kilitlenirse, bu durum organizasyona yönelik koordineli bir brute force saldırısına işaret eder. ACKLOG, bu senaryoyu "Toplu Hesap Kilitlenme" olarak sınıflandırır ve kritik alarm seviyesine yükseltir.

DEĞERLENDİRME & SONUÇ

Hesap kilitlenmeleri genellikle iş kesintisine neden olur. ACKLOG, Event ID 4740'ı 4625 olaylarıyla ilişkilendirerek kilitlenmenin bir saldırıdan mı yoksa yapılandırma hatasından mı kaynaklandığını hızla ayırt eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

ACKLOG, Event ID 4740 logundaki Caller Computer Name alanını otomatik olarak ayrıştırır ve dashboard'da gösterir. Tek tıklamayla kilitlenmeye neden olan makineyi görebilirsiniz.