Forum

Audit Loglarında Us...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Audit Loglarında Username Server Adı

7 Yazılar
3 Üyeler
0 Reactions
1,365 Görüntüleme
(@cevatkilic)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

Merhabalar;

Windows file server Audit log tarafında bir kullanıcının logları işleniyor ama username bölümünde servername yazıyor bunu nereden yada nasıl düzeltebilirim yardıma ihtiyacım var.

Genereal Bölümü;

An attempt was made to access an object.

Subject:
Security ID: SYSTEM
Account Name: FILESERVER$
Account Domain: DENEME
Logon ID: 0x3E7

Object:
Object Server: Security
Object Type: File
Object Name: I:\dosyanın adresi
Handle ID: 0x3914
Resource Attributes: S:AI

Process Information:
Process ID: 0x4
Process Name:

Access Request Information:
Accesses: WriteData (or AddFile)

Access Mask: 0x2

 

Details Bölümü;

- System
   
- Provider
      [ Name] Microsoft-Windows-Security-Auditing
      [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
   
  EventID 4663
   
  Version 1
   
  Level 0
   
  Task 12800
   
  Opcode 0
   
  Keywords 0x8020000000000000
   
- TimeCreated
      [ SystemTime] 2020-03-23T06:48:57.993762700Z
   
  EventRecordID 9802353
   
  Correlation
   
- Execution
      [ ProcessID] 628
      [ ThreadID] 636
   
  Channel Security
   
  Computer FILESERVER.deneme.local
   
  Security
- EventData
    SubjectUserSid S-1-5-18
    SubjectUserName FILESERVER$
    SubjectDomainName DENEME
    SubjectLogonId 0x3e7
    ObjectServer Security
    ObjectType File
    ObjectName I:\dosya adresi
    HandleId 0x3914
    AccessList %%4417
    AccessMask 0x2
    ProcessId 0x4
    ProcessName  
    ResourceAttributes S:AI
 
Gönderildi : 23/03/2020 09:59

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Muhtemel AV gibi bir ürün tarama yapıyor yani bir kullanıcı değil makine system hesabı ile erişim sağlamış ise bu normal bir durumdur.

Sizin böyle bir programa ihtiyacınız var;

https://www.cozumpark.com/lepide-ile-file-server-audit/

 
Gönderildi : 23/03/2020 12:29

(@cevatkilic)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

@cozumpark AV aklıma gelmedi olabilir ESET Endpoint File Security kullanıyoruz.

Loglama için Logsign kullanıyoruz oraya gelen loglar bu şekilde olunca ilgimi çekti windows tarafındada aynı olunca anlam veremediğimden buraya başvurdum.

Lepide de windows file server auditten almıyormu logları ?

 

 
Gönderildi : 23/03/2020 13:06

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Tabiki aynı mantık, yani sizde bir loglama yazılımı var ise ikinciye gerek yok, ben olmadığını düşündüğüm için paylaştım.

O sırada ÇözümPark hesabı açık kaldığı için oradan cevap vermiş bulundum 🙂

Lepide de bir Audit yazılımıdır, ancak sizin yazılım SIEM, yani kapı geçiş sistemini de alırken file server logunuda alacak şekilde tasarlandığı için Audit yazılımı kadar görsel, kolay, hızlı ve esnek değildir.

SIEM tüm logları alır gereklidir, ama Audit yazılımı sizin hayatınızı kolaylaştıran, SIEM yok ise zaten şart olan SIEM var ise bütçeniz dahilinde for file server, for azure, for ad, for exchange gibi ürüne özel rapor ve menüleri, özellikleri olan ürünlerdir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/03/2020 13:08

(@cevatkilic)
Gönderiler: 24
Eminent Member
Konu başlatıcı
 

@hakanuzuner anladım hocam teşekkür ederim bilgi için.

Lepide için araştırma yapacağım.

İyi Çalışmalar Dİlerim.

 

 
Gönderildi : 23/03/2020 13:20

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Rica ederim.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/03/2020 13:33

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

https://www.cozumpark.com/lepide-ile-file-server-audit/

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/07/2020 01:38

Paylaş: