Forum

Dosyayı kimin sildi...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Dosyayı kimin sildiğini belirten event id ile ilgili

4 Yazılar
2 Üyeler
0 Reactions
7,094 Görüntüleme
(@ali_koca)
Gönderiler: 672
Noble Member
Konu başlatıcı
 

Merhaba

silinen bir dosya veya taşınan bir dosya. qradar kullanıyoruz. Logları taraycağım. şimdi 4660 evet id ile aratıp logu bulduğumda kesin olarak bu kişi silmiştir diyebiliyormuyuz. 

2) Eğer bu dosya taşınmışsa bunu nasıl bulabiliriz. yani tam olarak event id si kaç olur

 
Gönderildi : 01/03/2021 11:48

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

Merhaba,

Evet 4660 dosya silme log numarasıdır.

Track File Deletions and Permission Changes on Windows File Servers (lepide.com)

Taşınmış ise onu bulamazsınız çünkü read/copy event id olarak aynıdır, bunu çözümü için SIEM değil Audit tool alıp agent' ı file server' a kurarsanız bu ürün örnek Lepide bir dosyanın okunduğu mu yoksa taşındığı mı bilgisini verir, ama yine aynı sunucuda değil ise hedef vermez, yani aynı sunucuda ise başka bir yazma log' u olarak bulkabilirsiniz ama örnek kendi masa üstüne almasını vs loglayamaz. Yani böyle bir kolerasyon çok mümkün değil, ancak tüm kaynakların yani usb memory ye kadar eş zamanlı yazma logları alınıyor ise belki ancak bulunabilir.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/03/2021 15:51

(@ali_koca)
Gönderiler: 672
Noble Member
Konu başlatıcı
 

@hakanuzuner

hocam 4659 da silme depğilmi. bu ikisi arasındaki fark nedir acaba.

 
Gönderildi : 01/03/2021 15:59

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 
  • Handling event 4659, which is similar to 4660 but is logged on a request to delete a locked file on the next reboot rather than deleting them now.

BU makalede aradığın cevaplar var.

Complete Guide to Windows File System Auditing - Varonis

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 01/03/2021 16:35

Paylaş: