Çözümlere Git
Kullanım Senaryosu

Brute Force Saldırısı Tespiti

Kısa sürede çok sayıda başarısız oturum açma denemesini tespit edin ve saldırganı otomatik engelleyin.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Brute force saldırısı, bir saldırganın şifre tahmin sözlüğü veya çalınmış kimlik bilgileriyle sisteme giriş yapmaya çalışmasıdır. ACKLOG, 5 dakika içinde aynı kaynaktan gelen 10+ başarısız denemeyi (Event ID 4625) otomatik olarak tespit eder, ardından başarılı giriş olursa (4624) hesap ele geçirme alarmı yükseltir.

TEKNİK ÖZET & KRİTERLER
Windows Event ID 4625 (başarısız giriş) ve 4624 (başarılı giriş) korelasyonu.
SSH auth.log başarısız denemeleri (Linux) için aynı mantık.
Kaynak IP bazında otomatik engelleme (SOAR entegrasyonu).
Credential stuffing ve password spraying farklılıklarının ayrımı.

Brute Force Nedir ve Neden Tehlikelidir?

Brute force saldırısı, siber saldırganların en temel ve en yaygın kullandığı tekniklerden biridir. Saldırgan, hedef sistemdeki kullanıcı hesaplarına binlerce farklı şifre kombinasyonu deneyerek erişim sağlamaya çalışır. MITRE ATT&CK çerçevesinde T1110 olarak sınıflandırılır.

Saldırı Türleri

Brute Force (Klasik): Tek bir hesaba çok sayıda şifre denenir. Hesap kilitleme politikası ile kısmen engellenebilir.

Password Spraying: Çok sayıda hesaba az sayıda yaygın şifre denenir. Kilitleme eşiğinin altında kaldığı için tespit edilmesi zordur.

Credential Stuffing: Başka sitelerden sızdırılmış kullanıcı-şifre çiftleri denenir. Kullanıcıların şifre tekrarı alışkanlığını hedefler.

ACKLOG Korelasyon Kuralı

ACKLOG şu korelasyon zincirini uygular: Aynı kaynak IP → 5 dakikada 10+ Event ID 4625 → Brute Force Alarmı. Ardından: Aynı kaynak IP → Event ID 4624 (başarılı giriş) → Hesap Ele Geçirme Kritik Alarmı.

Gerekli Log Kaynakları

Windows Domain Controller Event logları (4625, 4624, 4740), Linux SSH auth.log, VPN gateway logları, Web uygulaması login logları.

DEĞERLENDİRME & SONUÇ

ACKLOG'un yerleşik brute force korelasyon kuralı, saldırıları saniyeler içinde tespit eder ve SOAR entegrasyonu ile kaynak IP'yi otomatik olarak firewall'da engelleyebilir.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

ACKLOG, farklı hesaplara yapılan düşük frekanslı başarısız denemeleri IP bazında gruplar. Aynı IP'den 10 farklı hesaba 1'er deneme yapılması da alarm üretir.

Evet, ACKLOG'un SOAR entegrasyonu ile brute force alarm üretildiğinde kaynak IP otomatik olarak firewall'da engellenir.