Forum

Forumlar
Microsoft
Windows Server
Dosyayı kimin sildi...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Dosyayı kimin sildiğini belirten event id ile ilgili

 
Windows Server
Son Cevaplar gön: Hakan Uzuner 3 yıl önce
4 Yazılar
2 Üyeler
0 Likes
5,401 Görüntüleme
RSS
 Ali_KOCA
(@ali_koca)
Gönderiler: 669
Noble Member
Konu başlatıcı
 

Merhaba

silinen bir dosya veya taşınan bir dosya. qradar kullanıyoruz. Logları taraycağım. şimdi 4660 evet id ile aratıp logu bulduğumda kesin olarak bu kişi silmiştir diyebiliyormuyuz. 

2) Eğer bu dosya taşınmışsa bunu nasıl bulabiliriz. yani tam olarak event id si kaç olur

 
Gönderildi : 01/03/2021 11:48

Hakan Uzuner
 Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32987
Illustrious Member Yönetici
 

Merhaba,

Evet 4660 dosya silme log numarasıdır.

Track File Deletions and Permission Changes on Windows File Servers (lepide.com)

Taşınmış ise onu bulamazsınız çünkü read/copy event id olarak aynıdır, bunu çözümü için SIEM değil Audit tool alıp agent' ı file server' a kurarsanız bu ürün örnek Lepide bir dosyanın okunduğu mu yoksa taşındığı mı bilgisini verir, ama yine aynı sunucuda değil ise hedef vermez, yani aynı sunucuda ise başka bir yazma log' u olarak bulkabilirsiniz ama örnek kendi masa üstüne almasını vs loglayamaz. Yani böyle bir kolerasyon çok mümkün değil, ancak tüm kaynakların yani usb memory ye kadar eş zamanlı yazma logları alınıyor ise belki ancak bulunabilir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/03/2021 15:51

 Ali_KOCA
(@ali_koca)
Gönderiler: 669
Noble Member
Konu başlatıcı
 

@hakanuzuner

hocam 4659 da silme depğilmi. bu ikisi arasındaki fark nedir acaba.

 
Gönderildi : 01/03/2021 15:59

Hakan Uzuner
 Hakan Uzuner
(@hakanuzuner)
Gönderiler: 32987
Illustrious Member Yönetici
 
  • Handling event 4659, which is similar to 4660 but is logged on a request to delete a locked file on the next reboot rather than deleting them now.

BU makalede aradığın cevaplar var.

Complete Guide to Windows File System Auditing - Varonis

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/03/2021 16:35

Forum Jump:
  Önceki Konu
Sonraki Konu  
Paylaş: