Sunucuda Silinen Dosyaları Kimin Sildiğini Nasıl Görürüm?

Adli Analiz: Sunucuda Silinen Dosyayı Kim Sildi?

*Siber güvenlik raporlarına göre, SIEM kullanılan altyapılarda tehdit tespit süresi (MTTD) %80 oranında kısalmaktadır.*

Sunucunuzdaki kritik bir Excel dosyası veya proje klasörü aniden yok mu oldu? "Kim sildi?" sorusu sistem yöneticilerinin en çok karşılaştığı kabustur. Eğer önceden 'Audit Policy' yapılandırmadıysanız, geçmişe dönük bunu bulmak imkansızdır. Dosyayı kimin sildiğini bulmak sadece bir merak konusu değil, aynı zamanda veri güvenliği uyumluluğu için de bir zorunluluktur.

Windows Üzerinde Manuel Takip Adımları

• Audit Object Access Etkinleştirme: Group Policy üzerinden (Computer Configuration > Settings > Security Settings > Advanced Audit Policy) "Audit File System" özelliğini başarı ve başarısızlık durumları için aktif etmelisiniz.
• Klasör Bazlı Denetim: İlgili klasöre sağ tıklayıp Özellikler > Güvenlik > Gelişmiş > Denetim sekmesinden izlenecek kullanıcı gruplarını eklemelisiniz.
• Event ID 4663: Bu olay kimliği, bir nesneye erişildiğini (okuma, yazma, silme girişimi) gösterir. "Accesses" kısmında "Delete" ibaresini aramanız gerekir.
• Event ID 4660: Nesne gerçekten silindiğinde bu ID oluşur. 4663 ile eşleştirerek kimin sildiğini kesinleştirebilirsiniz.

Neden SIEM Gereklidir? Bu tür manuel kontroller, olay gerçekleştikten saatler sonra yapıldığında veri sızıntısının önüne geçemezsiniz. Dijital pazarlamada "Dolaylı Niyet" dediğimiz bu arayışın tek kalıcı çözümü otomatize edilmiş bir izleme sistemidir.

ACKLOG Çözümü: ACKLOG SIEM ile "Önemli bir dosya silindiğinde bana anında SMS veya Mail at" kuralını tek tıkla aktif edebilirsiniz. Manuel log taramak yerine, olayı gerçekleştiği anda cep telefonunuzda görün ve yasal olarak imzalanmış (5651 uyumlu) kesin kanıtlar biriktirin.