Kibertəhlükəsizlik

Ən vacib Windows Security Event ID-lər

Photo of orxan orxan26 İyun 2025
93 5 minutes read
Oxundu: 81
System Audit Policy Windows əməliyyat sistemlərində istifadəçilərin, proseslərin və xidmətlərin fəaliyyətlərini izləmək üçün istifadə olunur. Bu siyasət sistem administratorlarına təhlükəsizliklə bağlı hadisələri qeydə almağa imkan verir. Audit siyasətləri hadisə qeydlərini (event logs) aktivləşdirməklə informasiya təhlükəsizliyini təmin edir. Windows bu siyasəti Group Policy vasitəsilə mərkəzləşdirilmiş şəkildə tətbiq etməyə imkan verir. Audit siyasəti əsasən təhlükəsizlik insidentlərinin araşdırılmasında əhəmiyyətli rol oynayır. İzləmə siyasəti aktiv olduqda, sistem uğurlu və uğursuz fəaliyyətləri qeydə alır. Hər bir fəaliyyət növü üçün uyğun audit siyasəti təyin edilə bilər. Məsələn, istifadəçi girişləri, fayl dəyişiklikləri və obyektə çıxış kimi fəaliyyətlər izlənə bilər.
Audit siyasətini təyin etmək üçün “Local Security Policy” və ya Group Policy Management Console istifadə edilir. Local Security Policy vasitəsilə “Security Settings > Local Policies > Audit Policy” bölməsi daxilində konfiqurasiya aparılır. Windows Vista və sonrakı versiyalarda daha granular audit siyasətləri tətbiq etmək üçün “Advanced Audit Policy Configuration” mövcuddur. Bu genişlənmiş xüsusiyyətlər sayəsində daha detallı hadisələr qeydə alınır. İki əsas kateqoriya mövcuddur: əsas (basic) və genişləndirilmiş (advanced) audit siyasətləri. Əsas siyasət yalnız ümumi fəaliyyətləri izləyir. Genişləndirilmiş siyasət isə konkret alt fəaliyyətlər üzrə qeydlər aparır. Bu xüsusiyyət sistemin performansına daha az təsir edir.
Audit siyasətləri təhlükəsizlik boşluqlarının aşkarlanması üçün vacibdir. Hücumların aşkarlanması üçün sistemə daxil olan bütün fəaliyyətlər izlənməlidir. Auditin məqsədi yalnız qeydlər aparmaq deyil, həm də anomaliyaları aşkar etməkdir. Məsələn, istifadəçi adi vaxtdan fərqli saatda sistemə daxil olursa, bu qeydə alınır. Bu da təhlükəsizlik insidentlərinin araşdırılması zamanı kömək edir. Giriş və çıxış cəhdləri, fayl silinməsi və dəyişməsi, audit siyasəti ilə qeydə alınır. Audit log faylları “Event Viewer” üzərindən oxunur. “Security” jurnalında bu hadisələr qeyd olunur. Hər bir hadisənin özünəməxsus ID nömrəsi var. Məsələn, “4624” hadisəsi uğurlu girişə aiddir. “4625” isə uğursuz giriş cəhdini göstərir. “Security log” administratorların sistemdə nə baş verdiyini izləməsinə kömək edir.
Group Policy vasitəsilə domenə aid bütün kompüterlər üçün mərkəzləşdirilmiş audit siyasəti təyin oluna bilər. Bu, təşkilatlarda daha asan idarəetməyə şərait yaradır. Audit siyasətinin düzgün konfiqurasiyası GDPR və ISO 27001 kimi standartlara uyğunluq üçün vacibdir. Təhlükəsizlik komandasının logları mütəmadi izləməsi və arxivləşdirməsi tövsiyə olunur. Logların saxlanma müddəti və ölçüsü öncədən planlaşdırılmalıdır. Audit siyasətində yalnız lazım olan fəaliyyətlər izlənilməlidir. Əks halda log fayllar çox sürətlə dolacaq. Bu da sistemin performansına və yaddaşa mənfi təsir göstərə bilər. Ona görə də audit siyasətini planlı şəkildə tərtib etmək vacibdir.
Audit siyasətləri aşağıdakı sahələr üzrə tətbiq oluna bilər: girişlər, obyektlərə çıxış, siyasət dəyişiklikləri, proses izləmə, xidmətlərə çıxış və digərləri. Hər bir siyasət üçün həm uğurlu, həm də uğursuz fəaliyyətlərin qeydiyyatı seçilə bilər. Proses izləmə siyasəti icra olunan proqramlar haqqında məlumat verir. Obyektlərə çıxış siyasəti istifadəçilərin fayllara, qovluqlara çıxışını izləyir. Audit Policy Change siyasəti təhlükəsizlik parametrlərindəki dəyişiklikləri qeydə alır. Directory Service Access siyasəti Active Directory obyektlərinə çıxışı izləyir. Policy Change siyasəti şifrə və digər təhlükəsizlik parametrlərindəki dəyişiklikləri qeydə alır. Logon/Logoff siyasəti sistemə giriş və çıxış hadisələrini qeyd edir. System Event siyasəti sistemin yenidən yüklənməsi və digər əsas hadisələri izləyir.
Audit log faylları SIEM (Security Information and Event Management) sistemlərinə ötürülə bilər. Bu sistemlər vasitəsilə hadisələrin avtomatik təhlili və xəbərdarlıq sistemləri qurula bilər. Audit siyasəti həmçinin hüquqi araşdırmalar və məhkəmə sübutu üçün də istifadə olunur. Forensika zamanı loglar dəlil kimi çıxış edə bilər. Buna görə logların bütövlüyü və qorunması önəmlidir. Audit logların dəyişdirilməsi və ya silinməsi məhdudlaşdırılmalıdır. Audit hadisələrinin təsnifatı təhlükəsizlik komandasının təhlilini asanlaşdırır. Hər bir hadisə sistemin vəziyyəti haqqında məlumat verir. Audit siyasəti IT təhlükəsizliyinin təməl elementidir.
Düzgün tətbiq olunan audit siyasəti təşkilatın təhlükəsizlik strategiyasını gücləndirir. Auditin tətbiqi yalnız texniki məsələ deyil, həm də idarəetmə prosesidir. Təhlükəsizlik komandasının strategiyası bu siyasətə əsaslanmalıdır. Əgər audit siyasəti zəif konfiqurasiya olunarsa, kritik hadisələr gözdən qaça bilər. Bu da ciddi təhlükəsizlik risklərinə səbəb ola bilər. Audit siyasəti ilə birlikdə “Log Retention Policy” də tətbiq olunmalıdır. Bu, logların nə qədər müddət saxlanılacağını müəyyən edir. Log faylları şifrələnməli və qorunmalıdır. Audit siyasətləri mütəmadi nəzərdən keçirilməli və yenilənməlidir. Təşkilatın təhlükəsizlik tələbləri dəyişdikcə audit siyasəti də dəyişməlidir.
Bəzi hadisələr real vaxtda izlənməsi vacib olan hadisələrə daxildir. Məsələn, uğursuz giriş cəhdləri və administrator hüquqları ilə edilən dəyişikliklər dərhal araşdırılmalıdır. Audit siyasətləri həmçinin daxili təhdidlərin aşkar edilməsində mühüm rol oynayır. Məsələn, əməkdaş sistemdən məlumat çıxarırsa, bu davranış loglarda əks olunmalıdır. Audit siyasəti həmçinin xidmətlərin başlanğıcı və dayanması barədə məlumat verir. Yeni proqramların quraşdırılması da izlənilə bilər. Audit siyasətində “Success” və “Failure” parametrləri ilə qeydlərin növü təyin olunur. “Success” yalnız uğurlu fəaliyyətləri qeyd edir. “Failure” isə yalnız uğursuz fəaliyyətləri izləyir. Hər iki parametr aktivləşdirilərsə, tam audit təmin olunur.
Audit siyasəti sistem təhlükəsizliyinin görünməyən qalasıdır. Bu, təhlükəsizlik insidentlərinə qarşı erkən xəbərdarlıq sistemidir. İT mütəxəssisləri üçün audit siyasəti risklərin idarə edilməsində əsas vasitələrdən biridir. Audit siyasətini düzgün qurmaq üçün mövcud sistemləri və istifadəçiləri təhlil etmək lazımdır. Audit siyasəti ilə real hadisələr üzrə ssenarilər yaratmaq mümkündür. Bu ssenarilər SIEM sistemlərində avtomatik cavab qaydalarının yaradılmasına kömək edir. Audit siyasəti olmadan insidentlərin mənbəyini müəyyənləşdirmək çətin olur. Sistem dəyişikliklərinin kim tərəfindən və nə zaman edildiyi məlum olmaya bilər. Bu da istənilən təşkilat üçün təhlükəli vəziyyət yarada bilər.
Audit siyasəti həmçinin daxili nəzarət mexanizmlərini gücləndirir. ISO və NIST kimi standartlar audit siyasətini tövsiyə edir. Əməkdaşlar da bilməlidirlər ki, fəaliyyətləri izlənilir. Bu, pis niyyətli hərəkətlərin qarşısını alır. Audit siyasəti həmçinin əməliyyatlarda şəffaflıq təmin edir. Windows Server versiyalarında audit siyasəti daha detallı konfiqurasiya olunur. “Audit Directory Service Access” siyasəti Active Directory hadisələrini qeydə alır. “Audit Privilege Use” siyasəti sistem hüquqlarından istifadəyə nəzarət edir. “Audit Object Access” siyasəti fayl və registrə çıxışı izləyir. “Audit Process Tracking” isə proseslər və proqramlar üzərində nəzarəti təmin edir. Audit siyasəti ilə məlumatların məxfiliyi və bütövlüyü qorunur.
Sonda qeyd edək ki, System Audit Policy Windows təhlükəsizlik arxitekturasının əsas hissəsidir. Hər bir administrator bu siyasəti başa düşməli və tətbiq etməlidir. Təşkilatlar üçün audit siyasəti təhlükəsizliyin təmin olunmasında əvəzsiz vasitədir. Əgər bu siyasət düzgün qurularsa, sistem daha dayanıqlı və təhlükəsiz olacaq.

 

Diqqətli olmaq lazımdrır.

  • 4624, 4625, 4688 və 4719 daima monitorinqdə olmalıdır.
  • SIEM sistemlərdə bu Event ID-lər üçün alertlər qurulmalıdır.
  • Əgər 4740, 4720, 4672 kimi eventlər tez-tez baş verirsə, araşdırılmalıdır.

 

Ən önəmli Windows Security Event ID-ləri Auditing üçün
4624 – Uğurlu giriş. İstifadəçi sistemə daxil olub.
4625 – Uğursuz giriş cəhdi. Yanlış parol və ya giriş problemi.
4648 – “Run as” və ya başqa istifadəçi ilə giriş cəhdi.
4672 – Admin hüquqları ilə giriş. Xüsusi imtiyazlı istifadəçi.
4688 – Yeni proses işə salındı. Şübhəli proqramların aşkarlanması üçün vacibdir.
4689 – Proses dayandırıldı. Aktivliklərin monitorinqi.
4656 – Fayla və ya obyektə çıxış istəyi.
4663 – Fayla real çıxış cəhdi. Məlumat sızmalarının izlənməsi üçün vacibdir.
4660 – Fayl və ya obyekt silindi.
4670 – Obyekt icazələri dəyişdirildi.
4719 – Audit siyasəti dəyişdirildi. Təhlükə siqnalıdır.
4720 – Yeni istifadəçi yaradıldı.
4726 – İstifadəçi silindi.
4732 – İstifadəçi təhlükəli qrupa əlavə edildi.
4740 – Hesab bloklandı. Parol hücumu və ya istifadəçi səhvi.
4771 – Kerberos uğursuz doğrulama.
4776 – NTLM autentifikasiya cəhdi.
5140 – Şəbəkə paylaşımına çıxış oldu.
5156 – Proses internetə çıxış etdi.
1102 – Audit log silindi. İzi gizlətmək üçün istifadə oluna bilər.

Tövsiyə olunur ki, bu ID-lər SIEM sistemlərdə izlənməli və kritik olanlar üçün alertlər qurulmalıdır.

Photo of orxan orxan26 İyun 2025
93 5 minutes read
Photo of orxan

orxan

Related Articles

Xakerlərin istifadə etdiyi deauth hücumu nədir?

15 Dekabr 2024

Xaker hücumuna məruz qalmış Linux sistem analizi

16 Noyabr 2024

Kiberhücumların qarşısının alınmasına nəzarət

21 Fevral 2025

Kerberoasting hücumları

12 Yanvar 2025

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

© Copyright 2025, Müəlif hüquqlar qorunur!  |  LinuxOyren
ILK-10 Azeri Website Directory
Back to top button