Microsoft Security Log Analizi

1-            Windows Event Log

Microsoft Windows işletim sistemleri; kendisi üzerinde gelişen tüm olayları *.evt, *.evtx uzantılı olay günlüklerine kaydeder.

Bu log dosyaları “%SystemRoot%\System32\Winevt\” dizini altında bulunmaktadır.

Windows olay görüntüleleyici üzerinden bu olaylar detaylı bir şekilde takip edilebilmektedir.

 

Application (Uygulama) : Bu bölümde, Sistemimizde bulunan yazılımsal programlardan kaynaklı hataları veya durum bilgi logları mevcuttur. Bu bölüme yazılacak olan kayıtlar, kullanmış olduğumuz programları yazan veya geliştiren yazılımcılar tarafından belirlenmektedir.

Security (Güvenlik) : Domain ortamımıza çalışılan, başarılı ve başarısız girişleri, kullanıcı, grup vb. nesneler üzerinde yapılan değişiklikleri, oluşturma, silme işlemlerini takip etmemizde bizlere yarımcı olacak en önemli yerdir.

System (Sistem) : Bu bölümde, Sistemimizin neden, ne zaman kapatıldığını, ne zaman açıldığını, makinemiz üzerinde yapılan donanımsal değişiklikleri, sürücü yükleme kaldırma işlemlerini, takip etmemize yardımcı olacak kayıtlar bulunur.

 

2-            Olay Tipleri

İnformation  (Bilgi) : Sistemimizde oluşan bir sürücü yüklemesinin, bir yazılım yüklemesinin, bir servisin veya bir görevin başarılı bir şekilde başladığı zaman olayla ilgili gerekli bilgiyi kaydeder. Bir olay meydana geldiğinde olayları ilişkilendirmemizi kolaylaştıran kayıtlardır.

Warning (Uyarı) :  Sistemin performansını veya işlevselliğini bozabilecek olası sorunlara dikkat çeken, öncü bildirimlerdir. Örnek olarak disk alanımızda yeteri kadar alanın kalmadığında bizlere bildirilmek üzere bir kayıt bu alana yazılır.

Error (Hata) :  Bir görevin başarısız olması durumunda veya Sistemimizde bulunan bir servis başlamadığı zaman tutulan kayıtlardır.

Success Audit (Başarılı Denetim): Sistemimizde oluşan başarılı denetimlerin tutulduğu kayıtladır.

Failure Audit (Başarız Denetim): Sistemimizde oluşan başarısız denetimlerin tutulduğu kayıtlardır.

 

 

3-        Windows Audit Policy

Local Policy veya Group Policy üzerinden güvenlik olaylarının detaylı olarak kayıt altına alınması sağlanabilir.

Local Security Policy: Sadece bulunduğu bilgisayarı etkiler.

Group Policy: Domain içerisinde bağlı bulunan tüm bilgisayarı etkiler.

Local Policy veya Group Policy üzerinde “\Computer Configuration\Windows Settings\Security Settings\Audit Policy\” kısmına erişerek gerekli konfigrasyon yapılandırılabilir.

 

 

 

 

 

4-   2-    Windows Audit Policy Kategorileri

Audit Account Logon Events (Hesap Denetimi Oturum Açma Olayları) : Domain ortamında bir kullanıcının oturum açma ve kapatma olaylarını izler. Varsayılan ayar olarak success (başarılı) kayıtları tutar.
Audit Account Management (Hesap Denetim Yönetimi) : Active Drctory User and Computer vasıtası ile hesap yönetimini izleriz. Bir kullanıcı hesabı, bir grup, bir bilgisayar hesabı oluşturulduğunda, değiştirildiğinde veya silindiğinde kayıtlar oluşur. Varsayılan ayar olarak DC üzerinde success (başarılı) kayıtlar tutulur.
Audit Directory Service Access ( Dizin Servis Erişimlerinin Denetimi) : Active Drctory’ e yapılan erişimleri izler. Olay günlüğüne kayıtlar, kullanıcılar veya bilgisayar hesapları bu dizine eriştiğinde oluşturulur. Varsayılan ayar olarak DC üzerinde succes (başarılı) kayıtlar tutulur
Audit Logon Events (Oturum Açma Olayları) : Bir kullanıcının oturum açmasını, kapatmasını veya uzak bir sistemden (VPN, Uzak Masaüstü Protokolü vb..) bağlantı oluşturduğunda, belirlediğimiz kurallar çerçevesinde gerekli kayıtlar tutulur. Varsayılan ayar olarak success (başarılı) kayıtlar tutulur.
Audit Object Access ( Nesne Erişim Denetimleri): Sistem üzerinde var olan nesnelerin (dosyalar, klasörler, posta kutusu) kullanımını izler. Varsayılan ayar olarak yapılandırılmamıştır.
Audit Policy Change (Denetim Kurallarının Değiştirilmesi): Uygulamış olduğumuz güvenlik ilkeleri ile lgili değişiklikleri izler. Varsayılan ayar olarak DC üzerinde success (başarılı) kayıtları tutar. Üye Sunucular için yapılandırılmamışır.

    

 

4.1 Account Logon Events Result codes

Result code

Kerberos RFC description

Notes on common failure codes

0x1

Client's entry in database has expired

 

0x2

Server's entry in database has expired

 

0x3

Requested protocol version # not supported

 

0x4

Client's key encrypted in old master key

 

0x5

Server's key encrypted in old master key

 

0x6

Client not found in Kerberos database

Bad user name, or new computer/user account has not replicated to DC yet

0x7

Server not found in Kerberos database

 New computer account has not replicated yet or computer is pre-w2k

0x8

Multiple principal entries in database

 

0x9

The client or server has a null key

 administrator should reset the password on the account

0xA

Ticket not eligible for postdating

 

0xB

Requested start time is later than end time

 

0xC

KDC policy rejects request

Workstation restriction

0xD

KDC cannot accommodate requested option

 

0xE

KDC has no support for encryption type

 

0xF

KDC has no support for checksum type

 

0x10

KDC has no support for padata type

 

0x11

KDC has no support for transited type

 

0x12

Clients credentials have been revoked

Account disabled, expired, locked out, logon hours.

0x13

Credentials for server have been revoked

 

0x14

TGT has been revoked

 

0x15

Client not yet valid - try again later

 

0x16

Server not yet valid - try again later

 

0x17

Password has expired

The user’s password has expired.

0x18

Pre-authentication information was invalid

Usually means bad password

0x19

Additional pre-authentication required*

 

0x1F

Integrity check on decrypted field failed

 

0x20

Ticket expired

Frequently logged by computer accounts

0x21

Ticket not yet valid

 

0x21

Ticket not yet valid

 

0x22

Request is a replay

 

0x23

The ticket isn't for us

 

0x24

Ticket and authenticator don't match

 

0x25

Clock skew too great

Workstation’s clock too far out of sync with the DC’s

0x26

Incorrect net address

 IP address change?

0x27

Protocol version mismatch

 

0x28

Invalid msg type

 

0x29

Message stream modified

 

0x2A

Message out of order

 

0x2C

Specified version of key is not available

 

0x2D

Service key not available

 

0x2E

Mutual authentication failed

 may be a memory allocation failure

0x2F

Incorrect message direction

 

0x30

Alternative authentication method required*

 

0x31

Incorrect sequence number in message

 

0x32

Inappropriate type of checksum in message

 

0x3C

Generic error (description in e-text)

 

0x3D

Field is too long for this implementation

 

 

4.2 Audit Account Logon Events - Error Code

C0000064

user name does not exist

C000006A

user name is correct but the password is wrong

C0000234

user is currently locked out

C0000072

account is currently disabled

C000006F

user tried to logon outside his day of week or time of day restrictions

C0000070

workstation restriction

C0000193

account expiration

C0000071

expired password

C0000224

user is required to change password at next logon

C0000225

evidently a bug in Windows and not a risk

 

4.2 Logon Events – Logon Type

Logon Type

Description

2

Interactive (logon at keyboard and screen of system)

3

Network (i.e. connection to shared folder on this computer from elsewhere on network)

4

Batch (i.e. scheduled task)

5

Service (Service startup)

7

Unlock (i.e. unnattended workstation with password protected screen saver)

8

NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information.

9

NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  This logon type does not seem to show up in any events.  If you want to track users attempting to logon with alternate credentials see 4648.

10

RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)

11

CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)

 

 

 

 

 

 

 

 

Başka sorularınız var mı? Bir talep gönder

Yorumlar