Event Log Analizi

Ekim 18, 2022 Muhammed AYGÜN

Event Log Oluşan bir hatanın, durumun, olayın zaman damgası ile birlikte kayıt altına alınmasına log denilmektedir. Ortaya çıkan, oluşan durum ilgi çeken veya çekebilecek nitelikte olan her türlü işe ise event denilmektedir. Log kayıtları sayesinde sistem üzerinde uygulamalar, servisler ve donanımların stabil çalışıp çalışmadıkları öğrenebiliriz ve hatanın nedenini öğrenilmesini sağlandığından kritik bir değere sahiptir. Gelişen teknolojiyle birlikte log kayıtları sayesinde anormal bir durum sistemsel saldırı olduğunun anlaşılması için güvenlik loglarıda geliştirilmiştir.

Windows Event Log, Windows tarafından depolanan sistem, güvenlik ve uygulama bildirimlerin ayrıntılı kaydıdır bir başka deyişle tüm eventlar log dosyalarına kaydedilir. Bunları kolayca depolamak, gruplandırmak ve sunmak için kullanılan bir arşiv diyebiliriz. Windows Event Log, 1993'te Windows NT işletim sisteminde kullanılmaya başlandı. Bu Windows sürümü üç Windows logu birlikte geldi: Application Event Log, System Event Log ve Security Event Log. Windows'un modern sürümleri, yüzden fazla Windows Event Log ile birlikte gelir ve üçüncü taraf uygulamalar, kendi Event Log kaydederek Windows'a entegre edebilir.

Windıws Event logları bilgilerin net bir şekilde anlaşılmasını sağlayan standart bir biçimde saklar. Bir event log ana unsurları şunlardır;

· Log adı: farklı log oluşturma bileşenlerinde eventların yazılacağı event log adıdır.

· Zaman damgası: Event ın meydana geldiği tarih ve saati içerir.

· Task category: Kaydedilen event logun türünü tanımlar. Uygulama geliştiricileri, event hakkında ek bilgi olarak hizmet edecek görev kategorileri de tanımlayabilir.

· Event ID: Loga kaydedilen belirli bir eventı benzersiz şekilde tanımlamasına yardımcı olur.

· Source: Event ID neden olan program veya uygulamanın adı

· Level: Kaydedilen event değerin önem derecesini temsil eder. Bunlar “information”, “error”, “verbose”, “warning” ve “critical” olarak değerlendirilir.

· User: Event gerçekleştiğinde Windows sistem üzerinde oturum açan kullanıcının adı

· Computer: Event loga kaydedilen bilgisayarın adı.

Windows eventları ayrıca beş farklı türe ayrılır:

Information: Bir uygulama veya hizmetin iyi çalıştığını gösterir. Örneğin Windows ağ driver yüklendiğinde event bir bilgi olayı olarak günlüğe kaydeder.

Warning: Gelecekte olası sorunlara işaret eden önemsiz olaylar. Düşük disk alanı gibi bir sorun için bir uyarı event kaydedilir.

Error: Bir sistem normal bir şekilde çalışmadığında ortaya çıkan önemli bir sorunu açıklar. Örneğin işlerim sistemi yanıt vermeyi durdurur.

Success Audit: Security Event log için geçerli denetlenen güvenlik erişim girişimini kaydeder örneğin iyi giden bir oturum açma girişimi başarılı bir denetim etkinliğine tabi olacaktır.

Failure Audit: Ağ driver erişememe gibi security event log altında denetlenen güvenlik erişimin başarısızlığını gösterir.

Windows Event loglar kendi içerisinde bir önem düzeyleri bulunur. Windows event seviyeleri kaydedilen olayın önem derecesini veya önemini belirtir. Bunlar aşağıdaki gibi sınıflandırılır;

· Information: Bilgi: olayın sorunsuz gerçekleştiğini gösterir. Çoğu log kaydı bilgi eventlarını içerir.

· Verbose: Ayrıntı: belirli bir olay için ilerleme veya başarı mesajlarını gösterir.

· Waring: Uyarı: sistem yöneticilerinin izlemesi gereken olası bir sorunu vurgular

· Error: Hata: sistemdeki veya hizmetteki anında sorun giderme gerektirmeyen sorunları açıklar.

· Critical: Kritik: bir uygulamada veya sistemde acil müdahale gerektiren önemli bir sorunu belirtir.

Windows Event Log Önemi

Eventlog izlenirken sistem hataları, yetkisiz erişim, dış tehditler, sistem arızaları ve önemli oluşan sorunlar hakkında bilgiler sunmaktadır. Windows event loglar kaynak, kullanıcı adı, bilgisayar, event türü, düzeyi gibi ayrıntılı bilgiler sağlar. Olay günlükleri prensipte basit olsa da, olay günlüklerindeki çok miktarda veri, yüksek işlemli bir sistem içinde hızla terabaytlarca veri toplayabilir Bizim çok fazla olan event logları manuel olarak analiz edilmesini kolaylaştırmak için otomatik event log izleme araçları mevcuttur. Bu araçlar sistemdeki kritik bir sorunu gösteren event logları filtreleme ve görüntülemeye yardımcı olmak için sezgisel bir konsol ekranı sunmaktadır. Ayrıca, bazı araçlar, otomatik günlük arşivleme ve temizleme yoluyla mevzuat uyumluluğuna da yardımcı olur. SIEM logging, güvenlik amacıyla logların toplanması ve izlenmesi işlemidir. SIEM sistemleri güvenlik ekipleri tarafından bir kuruluştaki BT sistemlerinde ve güvenlik araçlarından olay verilerini toplamak, bir güvenlik olayını anlamına gelecek şüpheli davranışları belirlemek için kullanılır. SIEM’ler korelasyon kullarını kullanarak loglardan uyarılar üretirler. Bir korelasyon kuralı bir güvenlik tehdidini gösterebilecek bir dizi olayı ve belirli log değerlerini ve değer aralıklarını belirtir.

Windows Event Logları Görüntüleme

Windows event loglar C:\Windows\System32\winevt\Logs klasörü altında bulunur

Event Logları Windows sistemde default olarak bulunan Event Viewer ile görüntüleyebiliriz. Event Viewer Microsoft’un Windows işletim sisteminin yöneticilerin ve kullanıcıları yerel veya uzak bir makinedeki event ‘ları görüntülenmesine olanak tanıyan bir uygulamadır. Uygulamalar ve işletim sistemi bileşenleri başlatılması tamamlanması hata alması gibi olayları raporlamak için bu Log Viewer kullanılır.

Event Viwer açmak için başlat menüsüne event viwer yazıp çalıştırabiliriz.

Event Log Analizi

Bu kadar içeresinden değerli bilgi barındıran event loglar forensics bakış açısı ile bakacak olursak, birçok soru işaretinin cevabını verebiliriz. Event log analizi sayesinde bir siber saldırının root cause’ını başarılı olup olmadığı, servisin başlatılması, kullanıcı ayrıcalık değiştirme, başarısız oturum açma, saldırganın yapmış olduğu lateral movement hareketleri, RDP bağlantıları, saldırganlar tarafından ele geçirildiği düşünülen bir kullanıcı hesabının hangi sistemlere oturum açmak için kullanıldığını, saldırganların sızdığı sistemlerin hangileri olduğunu tespit etmekte işimize yarayacaktır.

“C:\Windows\system32\winevt “ klasörü altında yüzlerce event log görebiliriz.

Bu kadar fazla event log kaydedilmesi saklanması, anlamlandırılması zor olduğunda kendi içerisinde kategorilere, ID değerlerine ayrılmıştır. System, Application ve Security belli başlı kategorilerdir bunlara bakacak olursak;

System Event Log (system.evtx): Sistem ve bileşenleriyle ilgili olayları içerir. Sistem bileşenleri tarafından günlüğe kaydedilen olay türleri, Windows tarafından önceden belirlenir. İşletim sisteminin temel bileşenlerinin oluşturduğu logların bulunduğu alandır. Önyükleme başlatma sürücüsünün yüklenememesi drive yükleme, boşaltma işlemleri donanım değişiklikleri, aygıt sürücüleri, sistem değişiklikleri ve makineyle ilgili tüm etkinlikler hakkındaki veriler sistem düzeyinde bir event log örneğidir.

Application Event Log (application.evtx): Sistemde kurulu yazılımda meydana gelen hatalar hakkında bilgiler sağlar. Bir Windows bilgisayarında barındırılan bir yazılım veya uygulamayla ilgili olaylar, uygulama olay günlüğü altında kaydedilir. Program geliştiricileri, hangi olayların günlüğe kaydedileceğine karar verir Internet Explorer, PowerShell gibi bazı uygulamalar, Windows uygulama olay günlüğünü kullanmak yerine kendi olay günlüğünü oluşturur. Bu tür günlükler tam olarak standart Windows olay günlüklerine benzer ve Olay Görüntüleyicisi (ve ayrıca Olay Günlüğü Gezgini) bu olay günlüklerini okuyabilir. Sistemde bulunan uygulamalar hakkında log kaydı tutar. Kullanılan bir antivirüs uygulamasının almış olduğu error logunu application.evtx içerisinde görebiliriz. Örneğin, Microsoft PowerPoint'i başlatmadaki sorun, Uygulama günlüğünün altına gelir. Microsoft SQL Server, SQL sunucusuyla bağlantılı önemli olaylarla, “bellek yetersiz", "yedekleme hatası" vb ilgili ayrıntıları günlüğe kaydeder.

Security Event Log (security.evtx): sistemin güvenliği ile ilgili olayları içerir. Olay, Windows denetleme işlemi aracılığıyla kaydedilir. Yöneticiler, güvenlik günlüğüne hangi olayların kaydedileceğini belirleyebilir. Örneğin, oturum açma denetimini etkinleştirdiyseniz, sistemde oturum açma girişimleri güvenlik günlüğüne kaydedilir. Denetim politikasını ayarlarken dikkatli olun. Örneğin Windows, NTFS disklerindeki tüm dosyalara erişimi, bir dosyaya yapılan herhangi bir erişimin yeni bir olay olarak günlüğe kaydedileceği şekilde denetlemenize izin verir. Bu, saniyede yüz olay üretebilir, olay günlüğünü bunaltabilir ve sistem performansını azaltabilir. Bu nedenle, denetim erişim politikasını ayarlarken, yalnızca belirli dosya ve klasörlerin denetleme özelliklerine sahip olduğundan emin olun. Başarısız ve geçerli oturum açmaları, dosya silmeleri kullanıcı kimlik doğrulaması oturum açmalar, komut olarak çalıştırma, uzaktan erişim, oturum açtıktan sonraki kullanıcı etkinlikleri, account logon, hesap yönetimi, oturum açma olayları, dizin hizmeti, nesne erişimi, politika değişikliği, ayrıcalıklı kullanım, işlem izleme, sistem olayları olmak üzere çeşitli kullanıcı etkinlikleriyle ilgili ayrıntıları sunabilirler.

Event ID Değerleri

Event logların her birinin kendine ait ID değeri bulunur. Loglar arsında filtrelemeyi isim bazlı yapmak zordur bu nedenle ID değerlerini kullanmak daha kolaydır. Çok fazla Event ID değeri bulunmaktadır bunların tamamını ezberlemek zordur. Bilinmesi gereken belli başlı Event ID değerlerine bakacak olursak;

Event ID	Açıklama
4624	Başarılı oturum açma
4625	Başarısız oturum açma
4634	Hesap oturumunu kapat
4648	Açık kimlik bilgileriyle oturum açma girişimi
4719	Sistem denetim politikası değişikliği
4964	Yeni oturum açma girişimine atanan özel grup
1102	Denetim günlüğü temizlendi
4720	Yeni kullanıcı hesabı oluşturuldu
4722	Kullanıcı hesabı etkinleştirildi
4723	Şifre değiştirmeyi dene
4725	Kullanıcı hesabı devre dışı bırakıldı
4728	Kullanıcı, ayrıcalıklı global gruba eklendi
4732	Kullanıcı ayrıcalıklı yerel gruba eklendi
4756	Kullanıcı ayrıcalıklı evrensel gruba eklendi
4738	Kullanıcı hesabına geç
4740	Kullanıcının hesabı kilitlendi
4767	Kullanıcı hesabının kilidi açıldı
4735	Ayrıcalıklı yerel gruba geç
4737	Ayrıcalıklı küresel gruba geçiş
4755	Evrensel gruba geç
4772	Kerberos bileti için başarısız istek
4777	Etki alanı denetleyicisi, kimlik bilgilerini doğrulayamadı
4782	Hesap şifresi hash'ine erişildi
4616	Sistem zamanı değişti
4657	Kayıt defteri değerine değiştir
4697	Hizmet yükleme girişimi
4946	Windows Güvenlik Duvarı istisnasına kural eklendi
4947	Windows Güvenlik Duvarı istisnasında değiştirilen kural
4950	Windows Güvenlik Duvarı ayarları değişikliği
4954	Windows Güvenlik Duvarı Grup İlkesi'nde Değişiklik
5025	Windows Güvenlik Duvarı hizmeti durduruldu
5031	Uygulamanın trafiği kabul etmesi Windows Güvenlik Duvarı tarafından engellendi
5155	Windows Filtreleme Platformu, bir hizmetin bir bağlantı noktasını dinlemesini engelledi

Daha çok fazla event ıd değeri bulunur.

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor

adreslerine bakıp event ıd değerlerini bulunabilirsiniz.

Halil hocanın yazmış olduğu efsane blog yazısında göz atabilirsiniz. https://halilozturkci.com/siber-olay-mudahalesi-sirasinda-elinizin-altinda-olmasi-tavsiye-edilen-windows-event-idler/ bu blog yazısında işinize yarayabilecek event logları görebilirsiniz.

Logon Type

Event loglar içerisinde logon type’lar bulunur bu type giriş yapan kullanıcının nasıl bir bağlantı yaptığını bizlere belirtir. Başarılı/Başarısız Oturum Açma olayının sağladığı yararlı bilgilerden biri, kullanıcının/işlemin nasıl oturum açmaya çalıştığıdır (Oturum Açma Türü). Windows bu bilgiyi bir sayı olarak görüntüler. Aşağıdaki liste, oturum açma türünü ve kodlarını açıklamaktadır: Logon Type kısmı oturum açma işleminin nereden gerçekleştirildiğini belirtir ve aşağıdaki tabloda burada yer alabilecek olası değerlerin ne anlama geldiği gösterilmiştir.

Logon Type	Logon Title	Description
2	Interactive	Bilgisayar konsolundan oturum açma işlemi gerçekleşmiş.
3	Network	Network üzerinden gerçekleştirilen oturum açma işlemi. (SMB)
4	Batch	Zamanlanmış görev (Scheduled Task) çalışması sırasında oturum açma işlemi
5	Service	Windows’taki servislerin açtığı oturum açma işlemi
7	Unlock	Kilitli bilgisayarın kullanıcı tarafından açılması sırasında gerçekleşen oturum açma işlemi
8	NetworkClearttext	Kullanıcının network üzerinden cleartext formtta parola göndererek oturum açma işlemi
9	NewCredentials	Kullanıcının RunAs kullanarak aynı oturum içinde ikinci bir kimlik kullanmaya başlaması oturum açma işlemi
10	RemoteUnteravtice	Kullanıcı uzaktan terminal services veya Remote Desktop (RDP) üzerinde açtığı oturum açma işlemi
11	CachedInteractived	Domain Controller’a ulaşılmaması durumunda cached credential ile kullanıcının oturum açma işlemi

Bir olay olduğunda Event logları analiz etmek olay hakkında bilgi edinmemizi sağlar. Windows işletim sistemlerinde default olarak gelen Event Viewer aracı ile logları görüntüleyebiliriz .

Benim favori araçlarımdan biri Event Log Explorer ile de event logları görüntüleyebiliriz analiz edebiliriz. Event Log Explorer gelişmiş filtreleme özelliği sayesinde elimizdeki logları detaylı analiz edebiliriz.

İlgili logun üzerine çift tıklayarak analizi sağlayabiliriz.

Event Logları parse etmek içi kullandığımız bir diğer araç EvtxECmd aracı. EvtxECmd kullanılarak tüm loglar parse edilip csv formatında analizi gerçekleştirebiliriz. EvtxECmd EZ tool olarak bilinen CLI olarak çalışan, ücretsiz bir şekilde kullanabiliriz.