Incident Response Serisi 5 - Log Clear Attack Detection

#incidentresponse #detection #sibergüvenlik Incident Response serisinin 5. bölümünde Attackerlerin en fazla kullandığı yöntemlerden birisi olan Log Clear yani 1102 Event ID 'sini anlatıyorum. Denetim günlüğünün temizlenmesi (Event ID 1102), genellikle bir saldırganın izlerini gizlemeye çalıştığını gösterir. Bu tür olaylar, siber güvenlik açısından ciddiye alınmalıdır. Olay, "Administrator" hesabı tarafından gerçekleştirilmiştir. Bu, yüksek yetkilere sahip bir hesabın ele geçirilmiş olabileceğini düşündürebilir. Bu olay, MITRE ATT&CK framework'ünde "Defense Evasion" (Savunma Atlatma) taktiği ve "Indicator Removal" (Göstergeleri Kaldırma) tekniğiyle ilişkilendirilmiştir. Bu, saldırganın savunma mekanizmalarını atlatmaya çalıştığını gösterir. Eğitim sırasında anlattığım gibi doğrudan aksiyon alınması gereken önemli bir event 'dir bizim için. iyi seyirler dilerim.