Active Directory Kullanıcı Oturum Açma Kayıtları Analiz Rehberi

AD Login Takibi: Kimlik Güvenliğinin Temeli

Şirket ağınıza giren bir saldırganın ana hedefi bir kullanıcı hesabını ele geçirmektir. Active Directory (AD) üzerindeki binlerce "Logon" kaydı içerisindeki tek bir "Anormal" giriş, felaketin habercisi olabilir.

Kritik Event ID'ler

• Event ID 4624: Başarılı oturum açma (Logon Type 3 ise ağ üzerinden, Type 10 ise RDP).
• Event ID 4625: Başarısız oturum açma (Şifre deneme saldırısı işareti).
• Event ID 4768: Kerberos TGT isteği (Golden Ticket saldırılarını yakalamak için).

ACKLOG UEBA Modülü: Manuel olarak bu logları okumak imkansızdır. ACKLOG'un Davranışsal Analiz (UEBA) sistemi, kullanıcıların normal giriş saatlerini ve cihazlarını öğrenir. Örneğin; her gün Ankara'dan giren bir muhasebeci akşam 22:00'da Brezilya IP'sinden login olmaya çalışırsa, ACKLOG bunu saniyeler içinde yakalar ve yasal kanıt olarak saklar.