Forum
Merhaba
silinen bir dosya veya taşınan bir dosya. qradar kullanıyoruz. Logları taraycağım. şimdi 4660 evet id ile aratıp logu bulduğumda kesin olarak bu kişi silmiştir diyebiliyormuyuz.
2) Eğer bu dosya taşınmışsa bunu nasıl bulabiliriz. yani tam olarak event id si kaç olur
Merhaba,
Evet 4660 dosya silme log numarasıdır.
Track File Deletions and Permission Changes on Windows File Servers (lepide.com)
Taşınmış ise onu bulamazsınız çünkü read/copy event id olarak aynıdır, bunu çözümü için SIEM değil Audit tool alıp agent' ı file server' a kurarsanız bu ürün örnek Lepide bir dosyanın okunduğu mu yoksa taşındığı mı bilgisini verir, ama yine aynı sunucuda değil ise hedef vermez, yani aynı sunucuda ise başka bir yazma log' u olarak bulkabilirsiniz ama örnek kendi masa üstüne almasını vs loglayamaz. Yani böyle bir kolerasyon çok mümkün değil, ancak tüm kaynakların yani usb memory ye kadar eş zamanlı yazma logları alınıyor ise belki ancak bulunabilir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
hocam 4659 da silme depğilmi. bu ikisi arasındaki fark nedir acaba.
- Handling event 4659, which is similar to 4660 but is logged on a request to delete a locked file on the next reboot rather than deleting them now.
BU makalede aradığın cevaplar var.
Complete Guide to Windows File System Auditing - Varonis
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************