DFIR - Event Log Forensics : Security.evtx


Bu dökümanımızda Security Event Logunu analiz edicez ilk olarak event loglar nedir ve security nedir bunlar hakkında bilgi edinelim.


Event log: İşletim sistemleri ve uygulamalar tarafından sistemde gerçekleşen olayların kaydedildiği bir veri günlüğüdür Windows işletim sisteminde olay günlükleri sistemdeki sorunları izlemek, güvenlik açıklarını tespit etmek, performans sorunlarını anlamak ve kullanıcı aktivitelerini takip etmek için kullanılır. her bir olayın kendisine ait event ıd’si bulunur.


Security.evtx: Kullanıcı giriş ve çıkışları, dosya erişimleri gibi güvenlikle ilgili olaylar bu günlüklerde tutulur.

Bilgi edindiğimize göre analiz işlemimize geçelim.


İlk olarak FTK Imager ile security.evtx olay günlüğünü export etmemiz lazım FTK Imageri açıp export işlemimizi sağlıyoruz.


C:\Windows\System32\Winevt\Logs\Security.evtx Yoluna gidiyoruz.




Security.evtx dosyamıza saağ tık yapıp export files diyoruz ve export konumunu seçiyoruz.


Konumunu belirledikten sonra parse etmek için bazı araçlar var EvtxECmd, Event Logs Explorer gibi bu analiz işleminde Event Logs Explorer kullanacağız.




Export ettiğimiz Security.evtx dosyasını aracımızda açalım.




Görüldüğü üzere Security.evtx dosyamızın detaylı bir şekilde açıldığını görüyoruz birbirinden farklı event ıd’ler ve zaman damgaları var bu şekile Security event log analizi yapabiliriz.


Event Log Forensics Anlatım Videosu : https://www.youtube.com/watch?v=sPrAhipFv2E


Yorum Gönder

0 Yorumlar