Tüm Event ID'ler
Event ID Referans

Event ID 7045: Yeni Servis Kurulumu

Sisteme yeni bir Windows servisi kurulduğunda oluşur. Zararlı yazılımların kalıcılık (persistence) yöntemidir.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Event ID 7045, Windows sisteme yeni bir servis kurulduğunda System loguna kaydedilir. Saldırganlar, zararlı yazılımlarını sistem servisi olarak kurarak her başlangıçta otomatik çalışmasını sağlar. ACKLOG, onaylanmamış servis kurulumlarını anlık olarak tespit eder.

TEKNİK ÖZET & KRİTERLER
Servis adı, çalıştırılabilir dosya yolu ve başlangıç tipi loglanır.
Temp veya kullanıcı klasöründen çalışan servisler otomatik alarm üretir.
cmd.exe veya powershell.exe çalıştıran servisler kritik olarak işaretlenir.
Bilinen yazılım beyaz listesi ile false positive oranı minimize edilir.

Servis Kurulumu ve Persistence

Windows servisleri, sistem başlangıcında otomatik olarak çalışır. Saldırganlar bu mekanizmayı kullanarak zararlı yazılımlarını kalıcı hale getirir. MITRE ATT&CK'ta "Create or Modify System Process: Windows Service" (T1543.003) olarak sınıflandırılır.

Şüpheli Servis Göstergeleri

Şüpheli servis kurulumlarının tipik özellikleri: rastgele veya anlamsız servis adları, C:\Users\ veya C:\Temp\ gibi geçici klasörlerden çalışan servisler, cmd.exe /c veya powershell.exe ile başlayan ImagePath değerleri, LocalSystem hesabıyla çalışan bilinmeyen servisler.

ACKLOG ile İzleme

ACKLOG, organizasyondaki meşru yazılım servislerini beyaz listeye alır ve yeni kurulan her servisi bu listeyle karşılaştırır. Listede olmayan bir servis kurulduğunda, dosya yolu ve çalıştırma parametreleri analiz edilerek risk seviyesi belirlenir.

DEĞERLENDİRME & SONUÇ

Yetkisiz servis kurulumu, zararlı yazılımların en yaygın kalıcılık (persistence) tekniğidir. ACKLOG, Event ID 7045'i beyaz liste ve dosya yolu analizi ile değerlendirerek gerçek tehditleri saniyeler içinde yakalar.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

Evet, meşru yazılım kurulumları da yeni servis oluşturabilir. ACKLOG, bilinen yazılım yayıncılarını ve imzalı servisleri beyaz listeye alarak yalnızca bilinmeyen kaynaklardan gelen servislerde alarm üretir.