Windows Olay Kimliği 4624 – Başarılı oturum açma

Giriş

Olay Kimliği 4624 (Windows Olay Görüntüleyicisi'nde görüntülenir) yerel bir bilgisayarda oturum açmaya yönelik her başarılı girişimi belgelendirir. Bu olay, erişilen bilgisayarda, başka deyişle oturum açma oturumunun oluşturulduğu bilgisayarda oluşturulur. İlgili bir olay olan Olay Kimliği 4625, başarısız oturum açma girişimlerini belgelendirir.

Olay 4624 aşağıdaki işletim sistemleri için geçerlidir: Windows Server 2008 R2 ve Windows 7, Windows Server 2012 R2 ve Windows 8.1 ile Windows Server 2016 ve Windows 10. Windows Server 2003 ve önceki sürümlerdeki ilgili olaylar, başarılı oturum açma işlemleri için hem 528 hem de 540'ı içeriyordu.

Olay Kimliği 4624, Windows Server 2008, 2012 ve 2016'da biraz farklı bir biçimde karşımıza çıkmaktadır. Aşağıdaki ekran görüntülerinde, bu sürümlerin her birindeki önemli alanlar vurgulanmıştır.  

Olay 4624 (Windows 2008)

Olay 4624 (Windows 2012)

Olay 4624 (Windows 2016)

Olay Alanlarının Açıklaması

Olay 4624'ten elde edilebilecek önemli bilgiler aşağıdaki gibidir:

• • Oturum Açma Türü: Bu alan, gerçekleştirilen oturum açma işleminin türünü belirtir. Başka deyişle, kullanıcının nasıl oturum açtığını belirtir. Toplamda dokuz farklı oturum açma türü bulunur, en yaygın oturum açma türleri oturum açma türü 2 (etkileşimli) ve oturum açma türü 3'tür (ağ). Tür 5 (bir hizmet başlatmayı belirtir) dışındaki oturum açma türleri bir tehlike işaretidir.
• • Yeni Oturum Açma: Bu bölümde, yeni oturum açma işleminin adına oluşturulduğu kullanıcının Hesap Adını ve bu olayın başka olaylarla ilişkilendirilmesine yardımcı olacak onaltılık bir değer olan Oturum Açma Kimliğini verir.

Olay 4624'ten elde edilebilecek diğer bilgiler:

• • Konu bölümü, oturum açma talebinde bulunan yerel sistemdeki hesabı (kullanıcıyı değil) verir.
• • Kimliğe Bürünme Düzeyi bölümü, oturum açma oturumundaki bir işlemin bir istemcinin kimliğine ne düzeyde bürünebileceğini belirtir. Kimliğe Bürünme Düzeyleri, bir sunucunun istemcinin bağlamında gerçekleştirebileceği işlemleri belirler.
• • Süreç Bilgileri bölümü, oturum açma girişiminde bulunma süreciyle ilgili ayrıntıları ortaya koyar.
• • Ağ Bilgileri bölümü, kullanıcının oturum açtığı sırada nerede olduğunu belirtir. Oturum açma işlemi aynı bilgisayardan başlatılmışsa, bu bilgiler ya boş olarak belirtilir ya da yerel bilgisayarın iş istasyonu adını ve kaynak ağ adresini yansıtır. 
• • Kimlik Doğrulama Bilgileri, oturum açma işlemi için kullanılan kimlik doğrulama paketi hakkında bilgi verir.

Bir üçüncü taraf araca yönelik ihtiyaç

Olağan bir BT ortamında, kimliği 4624 olan olayların (başarılı oturum açmalar) sayısı günde binlere ulaşabilir. Ancak, tüm bu başarılı oturum açma olayları önemli değildir; önemli olaylar dahi diğer olaylarla herhangi bir bağlantı kurulmadan tek başına bir işe yaramaz.  

Örneğin, Olay 4624 bir hesap oturum açtığında ve Olay 4647 bir hesap oturum kapattığında oluşturuluyor olsa da bu iki olay da oturum açma oturumunun süresini vermez. Oturum açma süresini bulmak için, Olay 4624'ü Oturum Açma Kimliğini kullanarak buna karşılık gelen Olay 4647 ile ilişkilendirmeniz gerekir. 

Dolayısıyla, olay analizi ve korelasyonu gereklidir. Yerel araçlar ve PowerShell komut dosyalarının bu amaçla kullanılması uzmanlık sahibi olunmasını ve zaman harcanmasını gerektirir, dolayısıyla üçüncü taraf bir araç kullanılması elzemdir.

ADAudit Plus, makine öğreniminden faydalanarak her kullanıcıya özgü normal faaliyetlere dair bir referans oluşturur ve güvenli personelini ancak bu normdan bir sapma olduğunda bilgilendirir.

Örneğin, kritik bir sunucuya çalışma saatleri dışında sürekli olarak erişim sağlayan bir kullanıcı için bu davranış tipik olarak kabul edildiğinden, bu etkinlik bir hatalı pozitif uyarının tetiklenmesine neden olmaz. Öte yandan, ADAudit Plus, aynı kullanıcı daha önce hiç erişim sağlamadığı bir zamanda ilgili sunucuya eriştiğinde, erişim çalışma saatleri içinde olsa dahi güvenlik ekiplerini anında uyarır.