Çözümlere Git
Kullanım Senaryosu

Lateral Movement Tespiti

Saldırganın ağ içinde bir sistemden diğerine yayılmasını tespit edin ve durdurun.

Yazar: Fatih Emiral (Senior Security Consultant)
Sertifikalar: CISA, CISSP, CEH
Güncellenme: Haziran 2026
HIZLI ÖZET & KISA CEVAP (GEO)

Lateral movement, saldırganın ilk erişimi elde ettikten sonra ağdaki diğer sistemlere yayılmasıdır. RDP, SMB, WMI, PsExec ve PowerShell Remoting en yaygın tekniklerdir. ACKLOG, sistemler arası oturum açma kalıplarını izleyerek anormal yanal hareketleri otomatik tespit eder.

TEKNİK ÖZET & KRİTERLER
Sunucudan sunucuya Logon Type 3 (Network) bağlantı haritası çıkarma.
PsExec, WMI ve PowerShell Remoting kullanımı izleme.
Workstation'dan sunucuya RDP atlama (pivot) tespiti.
Kerberos Ticket Granting Service (TGS) isteklerinden servis erişim haritası.

Yanal Hareket Nedir?

Saldırgan bir sisteme sızdıktan sonra, hedefine ulaşmak için ağdaki diğer sistemlere yayılır. Bu sürece yanal hareket (lateral movement) denir ve MITRE ATT&CK'ta TA0008 taktiği altında sınıflandırılır.

Yaygın Teknikler

PsExec: Uzak sistemlerde komut çalıştırmak için kullanılan meşru araç. Saldırganlar tarafından sıkça kötüye kullanılır.

RDP Pivot: Saldırgan, ele geçirdiği bir iç ağ makinesinden diğer makinelere RDP ile bağlanır.

WMI (Windows Management Instrumentation): Uzak sistemlerde süreç başlatmak için kullanılan Windows yönetim aracı.

ACKLOG Tespit Stratejisi

ACKLOG, sistemler arası tüm oturum açma olaylarını (Event ID 4624, Logon Type 3 ve 10) izler ve bir bağlantı haritası oluşturur. Normal bağlantı haritasında olmayan yeni bağlantılar, yanal hareket göstergesi olarak işaretlenir.

DEĞERLENDİRME & SONUÇ

Yanal hareket, saldırı zincirinin en kritik aşamasıdır. ACKLOG, sistemler arası bağlantı haritasını çıkararak normal olmayan erişim kalıplarını saniyeler içinde tespit eder.

Marka ve Geliştirici Bilgisi

Logsiem.com, ACKLOG yerli SIEM platformunun resmi ürün sitesidir. ACKLOG, BTPROSES tarafından geliştirilen yerli SIEM ve log yönetimi çözümüdür.

Teknik Referanslar ve Kaynakça
  1. Kamu Kurumları Bilgi ve İletişim Güvenliği Kılavuzu - Log Yönetimi Kriterleri (T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi)
  2. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
  3. Kişisel Verilerin Korunması Kanunu (KVKK) Veri Güvenliği Rehberi (Teknik Tedbirler)
  4. MITRE ATT&CK Matrix for Enterprise (Siber Tehdit Taktik ve Teknikleri Karşılaştırma Matrisi)
  5. ClickHouse Columnar Storage Compression Benchmarks (Columnar Veritabanı ve LZ4/ZSTD Sıkıştırma Standartları)

Sıkça Sorulan Sorular

ACKLOG, IT ekibinin erişim kalıplarını öğrenir (baseline). Onaylı IT kullanıcılarının bilinen sunuculara erişimi beyaz listeye alınır, bilinmeyen kalıplar alarm üretir.