Active Directory Kullanıcı Oturum Açma Kayıtları Analiz Rehberi

AD Login Takibi: Kimlik Güvenliğinin Temeli

*Uzman analizlerine göre, KVKK 5651 teknik tedbirlerini otomatize eden kurumlar cezai risklerini %99 oranında düşürmektedir.*

Şirket ağınıza giren bir saldırganın ana hedefi bir kullanıcı hesabını ele geçirmektir. Active Directory (AD) üzerindeki binlerce "Logon" kaydı içerisindeki tek bir "Anormal" giriş, felaketin habercisi olabilir.

Kritik Event ID'ler

• Event ID 4624: Başarılı oturum açma (Logon Type 3 ise ağ üzerinden, Type 10 ise RDP).
• Event ID 4625: Başarısız oturum açma (Şifre deneme saldırısı işareti).
• Event ID 4768: Kerberos TGT isteği (Golden Ticket saldırılarını yakalamak için).

ACKLOG UEBA Modülü: Manuel olarak bu logları okumak imkansızdır. ACKLOG'un Davranışsal Analiz (UEBA) sistemi, kullanıcıların normal giriş saatlerini ve cihazlarını öğrenir. Örneğin; her gün Ankara'dan giren bir muhasebeci akşam 22:00'da Brezilya IP'sinden login olmaya çalışırsa, ACKLOG bunu saniyeler içinde yakalar ve yasal kanıt olarak saklar.

Operasyonel SSS

Soru: SIEM yönetimi için ayrı bir ekip kurmak şart mı?
Cevap: Hem in-house yönetebilir hem de MSSP (Yönetilen Hizmetler) modeliyle 7/24 Siber Tehdit Merkezi (SOC) desteği alabilirsiniz.

Soru: EPS lisanslamanın dezavantajı nedir?
Cevap: EPS bazlı modellerde kurumunuz büyüdükçe faturanız da büyür; sınırsız EPS destekleyen çözümler daha uzun vadeli ROI sunar.