Ad user kullanildığ...
 
Bildirimler
Hepsini Temizle

Ad user kullanildığı ip ve computer name ogrenmek istiyorum  

ozgurdogan
(@ozgurdogan)
Üye

Merhaba arkadaslar x bir basit 2008 r2  dc yapisinda şüpheli ad userin firma   departmanlarında farklı PC lerde logon olmuş ve bunları event viewer sec te bulamadim söz konusu ad user hangi computerdan hangi ip den login olmuş en kolay nasıl öğrenebilirim.

Alıntı
Topic starter Gönderildi : 21/08/2020 14:10
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Merkezi bir loglama sistemi yok ise bunu göremezsiniz çünkü DC den ancak en son logon bilgisini alır, Lepide ve benzeri bir ürün alırsanız bu tür hareketleri rahatlıkla takip edebilirsiniz. Veya SIEM ürünleriniz olmalı.

https://sozluk.cozumpark.com/siem

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 21/08/2020 20:35
ozgurdogan
(@ozgurdogan)
Üye

@hakanuzuner bilgi için çok teşekkürler hocam siem konusunu bilmiyordum çok iyi oldu birde ortamde checkponit var o cihaz üzerinden birde bulmayı deneyeceğiz r80.10 var üzerinde bakalım sonuç ne olacak bilgilendirme için çok çok teşekkürler. 

Sonuç alır almaz paylaşacağım.

CevapAlıntı
Topic starter Gönderildi : 22/08/2020 01:59
ozgurdogan
(@ozgurdogan)
Üye

@hakanuzuner hocam birde DC de enson logon bilgisini user özelliklerinden Attribute bölümünde bakabildim fakat en son logon olduğu computer yada surekli kullandigi pc adını yada surekli ve/veya en son kullandığı ip yi göremedim aslında en son logon olduğu veya mevcutta kullandigi cihaz ismi yada ip de şuan için beni çözüme ulaştırabilir..

Bu ileti 5 ay önce ozgurdogan tarafından düzenlendi
CevapAlıntı
Topic starter Gönderildi : 22/08/2020 02:07
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici
Gönderen: @ozgurdogan

@hakanuzuner bilgi için çok teşekkürler hocam siem konusunu bilmiyordum çok iyi oldu birde ortamde checkponit var o cihaz üzerinden birde bulmayı deneyeceğiz r80.10 var üzerinde bakalım sonuç ne olacak bilgilendirme için çok çok teşekkürler. 

Sonuç alır almaz paylaşacağım.

Neden tüm logon trafiği firewall üzerinde mi geçiyor?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 22/08/2020 14:35
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici
Gönderen: @ozgurdogan

@hakanuzuner hocam birde DC de enson logon bilgisini user özelliklerinden Attribute bölümünde bakabildim fakat en son logon olduğu computer yada surekli kullandigi pc adını yada surekli ve/veya en son kullandığı ip yi göremedim aslında en son logon olduğu veya mevcutta kullandigi cihaz ismi yada ip de şuan için beni çözüme ulaştırabilir..

Bunları alamazsın yani öyle bir bilgi tutulmuyor, sadece son logon olduğu için örnek A makinesinden logon olur sonra B makinesinden de logon olur ama sen sadece B makinesini görebilirsin yani şu anda aktif nerelerde logon gibi bilgileri 3 parti ürünler olmadan alamazsın.

Bir Audit veya siem aracı gibi olmasa da mevcut loglardan aşağıdaki gibi PS ile yine bir takım bilgiler toplayabilirsin ama bunlar adli veya kanıt niteliği toplamaz, yukarıdaki örnekten en temizi siem ama bunlar sonuçta ücretli ürünler, hiç yoktan bu PS iş görür

https://sid-500.com/2018/02/28/powershell-get-all-logged-on-users-per-computer-ou-domain-get-userlogon/

Bu başka bir örnek ama burada örnek XP makineleri seçmiş senin güncellemen gerekli

$Computers = Get-ADComputer -Filter {(enabled -eq "true") -and (OperatingSystem -Like "*XP*")} | Select-Object -ExpandProperty Name
$output=@()
ForEach($PSItem in $Computers) {
$User = Get-CimInstance Win32_ComputerSystem -ComputerName $PSItem | Select-Object -ExpandProperty UserName
$Obj = New-Object -TypeName PSObject -Property @{
"Computer" = $PSItem
"User" = $User
}
$output+=$Obj
}

$output

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 22/08/2020 14:39
ozgurdogan
(@ozgurdogan)
Üye

@hakanuzunerhayyır henuz yapılandırmalara baslanmadı benimle birlikte baslayacak..

CevapAlıntı
Topic starter Gönderildi : 22/08/2020 15:28
ozgurdogan
(@ozgurdogan)
Üye

takip ettiğim user windows 10 kullanıcı mevcut makineside henuz computer ad user account ilikiside henüz kurulmadığı için böyle olmuş yani yapıda hiçbir aksiyon yok standart sekilde ad kurulmus herkez logon oluyor checkpoint de oyle hiç user object yok herkez  modemden ip alıyormu gibi lease oluyor we logon oluyormuş ama bundan sonra öyle olmayacak su problemli personeli kefeder keşfetmez tüm güvenlik önlemlerini eğitimlerinizde tarif ettiğiniz şekilde tek tek hayata geçirmeye çalışacağım..

CevapAlıntı
Topic starter Gönderildi : 22/08/2020 15:33
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Anladım, kolaylıklar diliyorum.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 22/08/2020 17:03
Paylaş: