Windows Log Analizi — Audit Policy Değişikliği Tespiti

Bu yazımızda Local Security Policy’de yapılan bir değişikliğin nasıl tespit edilebileceğini ele alacağız.

İlk olarak Local Security Policy’i açalım. Detailed Tracking politikasında detaylı komut analizi için değişiklik yapmıştık. Windows Log Analizi — Detaylı Komut Analizi yazımıza https://kaleileriteknoloji.medium.com/windows-log-analizi-detayl%C4%B1-komut-analizi-c995cfa838a2?source=friends_link&sk=6bce3fe9c3045d45d4c2b5d639384cfa linki üzerinden ulaşabilirsiniz. Şimdi ise bu politika kapsamındaki değişikleri geri alalım.

Ve ilgili politikanın üstünü tıklayalım. “Not Configured” olması için Audit Events kısmından “Success” ve “Failure” tiklerini kaldıralım.

Analiz kısmında ise Event Viewer’ı açarak 4719 Event ID’yi filtreleyelim.

Aşağıdaki şekilde değişikliklerin yapıldığını görebiliriz:

Politikada başarılı ve başarısız bir şekilde komut çalıştırılmasının loglanmasını sağlamak için yapılan politika değişikliği de 4719 Event ID’si ile takip edilebilir.