Windows Log Analizi — Port Tarama Tespiti

Bu yazımızda Windows işletim sistemine yapılan bir port taramanın tespit etme aşamasında nelerin yapılabileceğinden bahsedeceğiz.

İlk olarak Windows işletim sisteminde bloklanan(drop edilen) paketlerin tespit edilmesi için 5152 Event ID’sini takip etmemiz lazım, bunun içinde Local Security Policy açıyoruz. Security Settings -> Local Policy -> Audit Policy sekmesine gelerek “Audit object access” politikasını success ve failure olarak güncelliyoruz. Bu işlemi yaptığımız taktirde sistemde çok fazla log oluşturulacağı unutulmamalıdır.

Şimdi ise Kaliden aşağıdaki komutu kullanarak port taramasını yapalım:

#nmap -sS -p- 10.10.10.131

Windows Log Analizi için ilk olarak Event Viewer’ı açıyoruz. Ve 5152 Event ID’sini filtre olarak uyguluyoruz.

Filtrelenmiş Windows loglarını incelediğimizde belirli bir zaman aralığında çok sayıda 5152 Event ID gördüğümüz için burada muhtemel port taraması yapılmıştır diyebiliriz.

Bir logun içeriği incelemek istersek muhtemel port taramanın hangi IP adresinden hangi IP adresine yapıldığını tespit edebiliriz.

Saldırgan IP Adresi: 10.10.10.128

Hedef IP Adresi: 10.10.10.131