ID d'événement Windows 4660 – Microsoft-Windows-Security-Auditing : Objet supprimé

Commencez par examiner les détails spécifiques de l'ID d'événement 4660 pour comprendre ce qui a été supprimé et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 4660 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4660 pour voir des informations détaillées
6. Examinez les champs clés suivants dans les détails de l'événement:
   • Sujet: Indique qui a effectué la suppression
   • Objet: Contient le SID de l'objet supprimé et les informations de poignée
   • Informations sur le processus: Identifie le processus qui a initié la suppression
7. Notez l'horodatage et corrélez avec d'autres événements de sécurité si une activité suspecte est suspectée

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4660 sur plusieurs systèmes.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents 4660 avec un filtrage de base :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4660} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Recherchez les suppressions par un compte utilisateur spécifique :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4660} | Where-Object {$_.Message -like "*DOMAIN\username*"} | Select-Object TimeCreated, Message

4. Exportez les événements vers un fichier CSV pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4660} -MaxEvents 1000 | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'}).Split(':')[1].Trim()}}, @{Name='ObjectSID';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Object > Security ID:*'}).Split(':')[1].Trim()}} | Export-Csv -Path "C:\Temp\Event4660_Analysis.csv" -NoTypeInformation

5. Interrogez les événements de plusieurs systèmes distants :

   $computers = @("DC01", "DC02", "FILESERVER01")
   foreach ($computer in $computers) {
       Get-WinEvent -ComputerName $computer -FilterHashtable @{LogName='Security'; Id=4660} -MaxEvents 10 -ErrorAction SilentlyContinue
   }

Recoupez l'ID d'événement 4660 avec le contenu de la Corbeille Active Directory pour vérifier les suppressions légitimes et potentiellement récupérer des objets.

1. Activez la Corbeille Active Directory si elle n'est pas déjà activée (nécessite un niveau fonctionnel de forêt Windows Server 2008 R2 ou ultérieur) :

   Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target (Get-ADForest).Name

2. Listez les objets récemment supprimés dans la Corbeille :

   Get-ADObject -Filter {Deleted -eq $true -and ObjectClass -eq "user"} -IncludeDeletedObjects -Properties whenChanged, DisplayName, SamAccountName | Sort-Object whenChanged -Descending

3. Trouvez des objets supprimés spécifiques en corrélant les SIDs de l'événement 4660 :

   $deletedSID = "S-1-5-21-1234567890-1234567890-1234567890-1001"
   Get-ADObject -Filter {Deleted -eq $true} -IncludeDeletedObjects -Properties objectSid, whenChanged, DisplayName | Where-Object {$_.objectSid -eq $deletedSID}

4. Restaurez les objets supprimés accidentellement si nécessaire :

   Get-ADObject -Filter {Deleted -eq $true -and DisplayName -eq "John Doe"} -IncludeDeletedObjects | Restore-ADObject

5. Générez un rapport des suppressions avec des horodatages :

   $report = @()
   Get-ADObject -Filter {Deleted -eq $true} -IncludeDeletedObjects -Properties whenChanged, DisplayName, ObjectClass, LastKnownParent | ForEach-Object {
       $report += [PSCustomObject]@{
           Name = $_.DisplayName
           ObjectClass = $_.ObjectClass
           DeletedDate = $_.whenChanged
           LastLocation = $_.LastKnownParent
       }
   }
   $report | Export-Csv -Path "C:\Temp\DeletedObjects_Report.csv" -NoTypeInformation

Configurez une surveillance proactive pour détecter et alerter sur les modèles de suppression d'objets suspects en utilisant Windows Event Forwarding et des solutions PowerShell personnalisées.

1. Configurez Windows Event Forwarding (WEF) pour centraliser la collecte de l'ID d'événement 4660:
   • Sur le serveur collecteur, exécutez:

     wecutil qc

   • Créez un fichier XML d'abonnement personnalisé pour l'événement 4660:

     <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
       <SubscriptionId>Event4660Collection</SubscriptionId>
       <SubscriptionType>SourceInitiated</SubscriptionType>
       <Description>Collecter l'ID d'événement 4660 des contrôleurs de domaine</Description>
       <Enabled>true</Enabled>
       <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
       <ConfigurationMode>Normal</ConfigurationMode>
       <Query><![CDATA[
         <QueryList>
           <Query Id="0">
             <Select Path="Security">*[System[EventID=4660]]</Select>
           </Query>
         </QueryList>
       ]]></Query>
     </Subscription>

2. Créez un script de surveillance PowerShell qui s'exécute en tant que tâche planifiée:

   # Monitor4660.ps1
   $threshold = 10 # Alerte si plus de 10 suppressions dans la dernière heure
   $events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4660; StartTime=(Get-Date).AddHours(-1)}
   
   if ($events.Count -gt $threshold) {
       $alertMessage = "ALERTE: $($events.Count) suppressions d'objets détectées dans la dernière heure"
       Write-EventLog -LogName Application -Source "Custom Security Monitor" -EventId 9001 -EntryType Warning -Message $alertMessage
       
       # Envoyer une alerte par email (configurer les paramètres SMTP)
       Send-MailMessage -To "admin@company.com" -From "security@company.com" -Subject "Suppression d'objets en volume détectée" -Body $alertMessage -SmtpServer "mail.company.com"
   }

3. Enregistrez le script en tant que tâche planifiée:

   $action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor4660.ps1"
   $trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 15) -RepetitionDuration ([TimeSpan]::MaxValue) -Once -At (Get-Date)
   $principal = New-ScheduledTaskPrincipal -UserID "SYSTEM" -LogonType ServiceAccount
   Register-ScheduledTask -TaskName "Monitor Event 4660" -Action $action -Trigger $trigger -Principal $principal

4. Créez des règles personnalisées Windows Performance Toolkit (WPT) pour la surveillance en temps réel:

   <!-- Enregistrer sous Event4660Monitor.xml -->
   <Rules>
     <Rule Name="Object Deletion Monitor" Enabled="true">
       <EventLog>Security</EventLog>
       <EventId>4660</EventId>
       <Action Type="Alert">
         <Message>Objet supprimé: Vérifiez une activité non autorisée</Message>
       </Action>
     </Rule>
   </Rules>

Effectuez une analyse médico-légale complète lorsque l'ID d'événement 4660 indique des incidents de sécurité potentiels ou des suppressions d'objets non autorisées.

1. Créez une chronologie médico-légale en corrélant plusieurs sources d'événements:

   # Collecter les événements de sécurité liés pour l'analyse de la chronologie
   $startTime = (Get-Date).AddDays(-7)
   $endTime = Get-Date
   
   # Rassembler les événements d'authentification (4624, 4625), l'utilisation des privilèges (4672), et l'accès aux objets (4660, 4661, 4662)
   $forensicEvents = @(4624, 4625, 4648, 4672, 4660, 4661, 4662)
   $timeline = @()
   
   foreach ($eventId in $forensicEvents) {
       $events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$eventId; StartTime=$startTime; EndTime=$endTime} -ErrorAction SilentlyContinue
       $timeline += $events
   }
   
   $timeline | Sort-Object TimeCreated | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='EventType';Expression={switch($_.Id){4624{'Logon'};4625{'Failed Logon'};4648{'Explicit Logon'};4672{'Privilege Use'};4660{'Object Deleted'};4661{'Handle Requested'};4662{'Object Accessed'};default{'Other'}}}} | Export-Csv -Path "C:\Forensics\SecurityTimeline.csv" -NoTypeInformation

2. Analysez les modèles de comportement des utilisateurs autour des événements de suppression:

   # Identifier les utilisateurs avec des modèles de suppression inhabituels
   $deletionEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4660; StartTime=(Get-Date).AddDays(-30)}
   $userDeletions = @{}
   
   foreach ($event in $deletionEvents) {
       $message = $event.Message
       $userMatch = [regex]::Match($message, 'Account Name:\s+([^\r\n]+)')
       if ($userMatch.Success) {
           $user = $userMatch.Groups[1].Value.Trim()
           if ($userDeletions.ContainsKey($user)) {
               $userDeletions[$user]++
           } else {
               $userDeletions[$user] = 1
           }
       }
   }
   
   $userDeletions.GetEnumerator() | Sort-Object Value -Descending | Select-Object @{Name='User';Expression={$_.Key}}, @{Name='DeletionCount';Expression={$_.Value}} | Export-Csv -Path "C:\Forensics\UserDeletionAnalysis.csv" -NoTypeInformation

3. Extraire et conserver les preuves à des fins légales ou de conformité:

   # Créer un package de preuves médico-légales
   $evidenceDir = "C:\Forensics\Event4660_Investigation_$(Get-Date -Format 'yyyyMMdd_HHmmss')"
   New-Item -ItemType Directory -Path $evidenceDir -Force
   
   # Exporter les journaux d'événements bruts
   wevtutil epl Security "$evidenceDir\Security_EventLog.evtx" "/q:*[System[EventID=4660]]"
   
   # Générer un rapport détaillé
   $report = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4660; StartTime=(Get-Date).AddDays(-30)} | ForEach-Object {
       $message = $_.Message
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           EventId = $_.Id
           Computer = $_.MachineName
           User = if ($message -match 'Account Name:\s+([^\r\n]+)') { $matches[1].Trim() } else { 'Unknown' }
           Domain = if ($message -match 'Account Domain:\s+([^\r\n]+)') { $matches[1].Trim() } else { 'Unknown' }
           ObjectSID = if ($message -match 'Object > Security ID:\s+([^\r\n]+)') { $matches[1].Trim() } else { 'Unknown' }
           ProcessName = if ($message -match 'Process Name:\s+([^\r\n]+)') { $matches[1].Trim() } else { 'Unknown' }
           FullMessage = $message
       }
   }
   
   $report | Export-Csv -Path "$evidenceDir\Event4660_DetailedReport.csv" -NoTypeInformation
   
   # Créer un fichier de vérification de hachage
   Get-ChildItem $evidenceDir -File | ForEach-Object {
       $hash = Get-FileHash $_.FullName -Algorithm SHA256
       "$($hash.Hash)  $($_.Name)" | Out-File -Append -FilePath "$evidenceDir\SHA256_Hashes.txt"
   }

4. Documenter les résultats et créer un rapport de réponse aux incidents:

   # Générer un rapport de synthèse exécutif
   $summary = @"
   Résumé de l'analyse médico-légale de l'ID d'événement 4660
   Généré: $(Get-Date)
   Période d'analyse: 30 derniers jours
   
   Principales conclusions:
   - Total des événements de suppression: $($report.Count)
   - Utilisateurs uniques impliqués: $(($report | Group-Object User).Count)
   - Heure de suppression maximale: $(($report | Group-Object {$_.TimeCreated.Hour} | Sort-Object Count -Descending | Select-Object -First 1).Name):00
   - Utilisateur le plus actif: $(($report | Group-Object User | Sort-Object Count -Descending | Select-Object -First 1).Name)
   
   Recommandations:
   1. Examiner les modèles de suppression pour les anomalies
   2. Vérifier que toutes les suppressions étaient autorisées
   3. Mettre en place une surveillance supplémentaire si une activité suspecte est détectée
   4. Envisager de mettre en œuvre des flux de travail d'approbation pour les suppressions d'objets sensibles
   "@
   
   $summary | Out-File -FilePath "$evidenceDir\Executive_Summary.txt"
   Write-Host "Analyse médico-légale terminée. Package de preuves créé à: $evidenceDir" -ForegroundColor Green