ID d'événement Windows 4618 – Sécurité : Un modèle d'événement de sécurité surveillé s'est produit

Commencez par examiner les détails spécifiques de l'ID d'événement 4618 pour comprendre ce qui a déclenché la détection du modèle de surveillance.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4618 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4618 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 4618 pour examiner les détails
6. Consultez l'onglet Général pour des informations de base et l'onglet Détails pour les données XML
7. Notez la section Sujet montrant le compte qui a déclenché l'événement
8. Vérifiez les Informations sur le processus pour identifier quel exécutable a causé la détection du modèle

PowerShell offre des capacités puissantes de filtrage et d'analyse pour enquêter sur les occurrences de l'ID d'événement 4618 et les événements de sécurité connexes.

1. Ouvrir PowerShell en tant qu'administrateur
2. Interroger les entrées récentes de l'ID d'événement 4618 avec des informations détaillées :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4618} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

3. Analyser les événements par plage de temps spécifique pour les corréler avec les activités administratives :

$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4618; StartTime=$StartTime; EndTime=$EndTime} | Group-Object {$_.TimeCreated.Date} | Select-Object Name, Count

4. Extraire des données XML détaillées pour une analyse judiciaire :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4618} -MaxEvents 10 | ForEach-Object {
    [xml]$xml = $_.ToXml()
    $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName' -or $_.Name -eq 'ProcessName'}
}

5. Créer un rapport sommaire de l'activité de l'ID d'événement 4618 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4618} -MaxEvents 100 | Group-Object {([xml]$_.ToXml()).Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'} | Select-Object Name, Count | Sort-Object Count -Descending

Vérifiez les paramètres actuels de la stratégie d'audit pour comprendre pourquoi l'ID d'événement 4618 est généré et assurez-vous de la configuration correcte de la surveillance de la sécurité.

1. Ouvrez l'Invite de commandes en tant qu'administrateur
2. Examinez les paramètres actuels de la stratégie d'audit :

auditpol /get /category:*

3. Vérifiez les sous-catégories d'audit spécifiques qui pourraient déclencher l'ID d'événement 4618 :

auditpol /get /subcategory:"Audit Policy Change"

4. Examinez la configuration avancée de la stratégie d'audit :

auditpol /get /subcategory:"Security System Extension"

5. Ouvrez Stratégie de sécurité locale en exécutant secpol.msc
6. Accédez à Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit
7. Développez Changement de stratégie et examinez les paramètres de Changement de stratégie d'audit
8. Vérifiez la catégorie Système pour la configuration de Extension du système de sécurité
9. Documentez tout changement récent des stratégies d'audit qui pourrait correspondre aux occurrences de l'ID d'événement 4618

Identifiez quels processus ou services déclenchent l'ID d'événement 4618 pour déterminer si l'activité est légitime ou nécessite une enquête plus approfondie.

1. Utilisez PowerShell pour extraire des informations sur le processus à partir de l'ID d'événement 4618 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4618} -MaxEvents 20 | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $processName = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'}).'#text'
    $subjectUser = ($xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessName = $processName
        SubjectUser = $subjectUser
    }
} | Format-Table -AutoSize

2. Vérifiez les services en cours d'exécution qui pourraient modifier les configurations d'audit :

Get-Service | Where-Object {$_.Status -eq 'Running' -and ($_.Name -like '*audit*' -or $_.Name -like '*security*' -or $_.Name -like '*policy*')} | Select-Object Name, Status, StartType

3. Examinez les événements récents de création de processus autour de l'heure de l'ID d'événement 4618 :

$Event4618Time = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4618} -MaxEvents 1).TimeCreated
$StartTime = $Event4618Time.AddMinutes(-5)
$EndTime = $Event4618Time.AddMinutes(5)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime; EndTime=$EndTime} | Select-Object TimeCreated, Message | Format-List

4. Vérifiez les événements de traitement des stratégies de groupe qui pourraient être corrélés :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=1502,1503} -MaxEvents 10 | Select-Object TimeCreated, Id, Message

5. Examinez les activités de mise à jour Windows ou de maintenance du système :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=19,20,21,22} -MaxEvents 20 | Where-Object {$_.TimeCreated -gt (Get-Date).AddDays(-1)} | Select-Object TimeCreated, Id, LevelDisplayName, Message

Effectuer une analyse approfondie du système pour identifier les causes profondes et assurer l'intégrité du système lorsque l'ID d'événement 4618 apparaît de manière inattendue ou fréquente.

1. Vérifiez les paramètres du registre de la politique d'audit :

Get-ItemProperty -Path "HKLM\SECURITY\Policy\PolAdtEv" -ErrorAction SilentlyContinue

2. Examinez les clés de registre du sous-système de sécurité :

Get-ChildItem -Path "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" | Select-Object Name, Property

3. Examinez la configuration de l'audit dans le registre :

$AuditKeys = @(
    "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security",
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit"
)
foreach ($Key in $AuditKeys) {
    if (Test-Path $Key) {
        Write-Host "Registry Key: $Key"
        Get-ItemProperty -Path $Key | Format-List
        Write-Host "`n"
    }
}

4. Vérifiez les tâches planifiées liées à la sécurité :

Get-ScheduledTask | Where-Object {$_.TaskName -like '*audit*' -or $_.TaskName -like '*security*' -or $_.Description -like '*security*'} | Select-Object TaskName, State, LastRunTime, NextRunTime

5. Analysez l'intégrité des fichiers système :

sfc /scannow

6. Exécutez une vérification de base de la sécurité Windows :

Get-MpComputerStatus | Select-Object AntivirusEnabled, AMServiceEnabled, AntispywareEnabled, RealTimeProtectionEnabled

7. Créez un rapport système complet :

$Report = @{
    'Event4618Count' = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4618} -MaxEvents 1000 -ErrorAction SilentlyContinue | Measure-Object).Count
    'AuditPolicyChanges' = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4719} -MaxEvents 100 -ErrorAction SilentlyContinue | Measure-Object).Count
    'SystemStartTime' = (Get-CimInstance -ClassName Win32_OperatingSystem).LastBootUpTime
    'SecurityLogSize' = (Get-WinEvent -ListLog Security).FileSize
}
$Report | ConvertTo-Json