Forum
Merhaba arkadaslar x bir basit 2008 r2 dc yapisinda şüpheli ad userin firma departmanlarında farklı PC lerde logon olmuş ve bunları event viewer sec te bulamadim söz konusu ad user hangi computerdan hangi ip den login olmuş en kolay nasıl öğrenebilirim.
Merhaba,
Merkezi bir loglama sistemi yok ise bunu göremezsiniz çünkü DC den ancak en son logon bilgisini alır, Lepide ve benzeri bir ürün alırsanız bu tür hareketleri rahatlıkla takip edebilirsiniz. Veya SIEM ürünleriniz olmalı.
https://sozluk.cozumpark.com/siem
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
@hakanuzuner bilgi için çok teşekkürler hocam siem konusunu bilmiyordum çok iyi oldu birde ortamde checkponit var o cihaz üzerinden birde bulmayı deneyeceğiz r80.10 var üzerinde bakalım sonuç ne olacak bilgilendirme için çok çok teşekkürler.
Sonuç alır almaz paylaşacağım.
@hakanuzuner hocam birde DC de enson logon bilgisini user özelliklerinden Attribute bölümünde bakabildim fakat en son logon olduğu computer yada surekli kullandigi pc adını yada surekli ve/veya en son kullandığı ip yi göremedim aslında en son logon olduğu veya mevcutta kullandigi cihaz ismi yada ip de şuan için beni çözüme ulaştırabilir..
@hakanuzuner bilgi için çok teşekkürler hocam siem konusunu bilmiyordum çok iyi oldu birde ortamde checkponit var o cihaz üzerinden birde bulmayı deneyeceğiz r80.10 var üzerinde bakalım sonuç ne olacak bilgilendirme için çok çok teşekkürler.
Sonuç alır almaz paylaşacağım.
Neden tüm logon trafiği firewall üzerinde mi geçiyor?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
@hakanuzuner hocam birde DC de enson logon bilgisini user özelliklerinden Attribute bölümünde bakabildim fakat en son logon olduğu computer yada surekli kullandigi pc adını yada surekli ve/veya en son kullandığı ip yi göremedim aslında en son logon olduğu veya mevcutta kullandigi cihaz ismi yada ip de şuan için beni çözüme ulaştırabilir..
Bunları alamazsın yani öyle bir bilgi tutulmuyor, sadece son logon olduğu için örnek A makinesinden logon olur sonra B makinesinden de logon olur ama sen sadece B makinesini görebilirsin yani şu anda aktif nerelerde logon gibi bilgileri 3 parti ürünler olmadan alamazsın.
Bir Audit veya siem aracı gibi olmasa da mevcut loglardan aşağıdaki gibi PS ile yine bir takım bilgiler toplayabilirsin ama bunlar adli veya kanıt niteliği toplamaz, yukarıdaki örnekten en temizi siem ama bunlar sonuçta ücretli ürünler, hiç yoktan bu PS iş görür
Bu başka bir örnek ama burada örnek XP makineleri seçmiş senin güncellemen gerekli
$Computers = Get-ADComputer -Filter {(enabled -eq "true") -and (OperatingSystem -Like "*XP*")} | Select-Object -ExpandProperty Name
$output=@()
ForEach($PSItem in $Computers) {
$User = Get-CimInstance Win32_ComputerSystem -ComputerName $PSItem | Select-Object -ExpandProperty UserName
$Obj = New-Object -TypeName PSObject -Property @{
"Computer" = $PSItem
"User" = $User
}
$output+=$Obj
}
$output
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
@hakanuzunerhayyır henuz yapılandırmalara baslanmadı benimle birlikte baslayacak..
takip ettiğim user windows 10 kullanıcı mevcut makineside henuz computer ad user account ilikiside henüz kurulmadığı için böyle olmuş yani yapıda hiçbir aksiyon yok standart sekilde ad kurulmus herkez logon oluyor checkpoint de oyle hiç user object yok herkez modemden ip alıyormu gibi lease oluyor we logon oluyormuş ama bundan sonra öyle olmayacak su problemli personeli kefeder keşfetmez tüm güvenlik önlemlerini eğitimlerinizde tarif ettiğiniz şekilde tek tek hayata geçirmeye çalışacağım..
Anladım, kolaylıklar diliyorum.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************