Tüm Event ID'ler
Event ID Referans

Event ID 4776: NTLM Doğrulama

NTLM protokolü ile kimlik doğrulama yapıldığında oluşur. Pass-the-Hash saldırılarının göstergesi olabilir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 4776, Domain Controller'ın NTLM protokolü ile kimlik doğrulaması yaptığında kaydedilir. Modern Active Directory ortamlarında Kerberos tercih edilir, NTLM kullanımı eski sistemlerin varlığına veya saldırganların Pass-the-Hash tekniğiyle hash değerini kullanarak kimlik doğrulamasına işaret edebilir.

TEKNİK ÖZET & KRİTERLER
NTLM doğrulamanın başarı/başarısızlık durumu ve kaynak bilgisi loglanır.
Kerberos yerine NTLM kullanımı güvenlik riski olarak değerlendirilir.
Pass-the-Hash saldırılarında NTLM hash ile oturum açma tespit edilir.
NTLM kullanımını azaltmak için Kerberos'a geçiş yol haritası sunulur.

NTLM ve Pass-the-Hash Saldırıları

NTLM (NT LAN Manager), Windows ağlarında kullanılan eski bir kimlik doğrulama protokolüdür. Kerberos'a göre daha zayıf güvenlik sunar. Saldırganlar, sistemlerden elde ettikleri NTLM hash değerlerini kullanarak şifre bilmeden oturum açabilir (Pass-the-Hash).

Pass-the-Hash Nasıl Çalışır?

Saldırgan, bir sistemin belleğinden (lsass.exe) NTLM hash değerlerini çalar (mimikatz vb.). Bu hash değerini kullanarak ağdaki diğer sistemlere NTLM ile kimlik doğrulaması yapar. Şifreyi bilmesine gerek yoktur.

ACKLOG Tespit Stratejisi

ACKLOG, NTLM kullanım haritasını çıkarır ve Kerberos beklenirken NTLM ile yapılan oturumları şüpheli olarak işaretler. Özellikle admin hesaplarının NTLM ile oturum açması kritik alarm üretir.

DEĞERLENDİRME & SONUÇ

NTLM protokolünün izlenmesi, Pass-the-Hash gibi gelişmiş kimlik hırsızlığı saldırılarının tespiti için kritiktir. ACKLOG, Event ID 4776'yı analiz ederek NTLM kullanım kalıplarını ve potansiyel hash saldırılarını tespit eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Eski uygulamalar ve cihazlar NTLM gerektirebilir. ACKLOG, NTLM kullanan sistemleri raporlayarak Kerberos'a geçiş planı oluşturmanıza yardımcı olur.