ID d'événement Windows 4688 – Microsoft-Windows-Security-Auditing : Événement d'audit de création de processus

Avant que l'ID d'événement 4688 n'apparaisse, vous devez activer l'audit de création de processus via la stratégie de groupe :

1. Ouvrez Group Policy Management Console ou exécutez gpedit.msc pour la stratégie locale
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Suivi détaillé
3. Double-cliquez sur Audit de la création de processus
4. Cochez Configurer les événements d'audit suivants et sélectionnez Succès
5. Pour capturer les arguments de ligne de commande, activez également : Configuration de l'ordinateur → Modèles d'administration → Système → Audit de la création de processus → Inclure la ligne de commande dans les événements de création de processus
6. Exécutez gpupdate /force pour appliquer la stratégie immédiatement

Vérifiez le paramètre avec PowerShell :

auditpol /get /subcategory:"Process Creation"

Utilisez PowerShell pour récupérer et analyser les entrées de l'ID d'événement 4688 :

# Obtenir les événements récents de création de processus
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 50

# Filtrer par nom de processus spécifique
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*powershell.exe*"}

# Obtenir les événements des dernières 24 heures avec détails
$StartTime = (Get-Date).AddDays(-1)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime} | Select-Object TimeCreated, Id, @{Name='ProcessName';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*New Process Name:*'}) -replace '.*New Process Name:\s*',''}}

Dans le Visualiseur d'événements, naviguez vers Journaux Windows → Sécurité et filtrez pour l'ID d'événement 4688. Créez une vue personnalisée en cliquant avec le bouton droit sur Sécurité → Filtrer le journal actuel → entrez 4688 dans le champ ID d'événements.

Enquêter sur les modèles de création de processus suspects en utilisant une analyse PowerShell avancée :

# Trouver les processus lancés par des utilisateurs spécifiques
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $subjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $processName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessName'} | Select-Object -ExpandProperty '#text'
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = $subjectUserName
        Process = $processName
    }
} | Where-Object {$_.User -eq 'suspicious_user'}

# Détecter les relations parent-enfant de processus inhabituelles
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 1000
$Events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    $parentProcess = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'ParentProcessName'} | Select-Object -ExpandProperty '#text'
    $childProcess = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessName'} | Select-Object -ExpandProperty '#text'
    "$parentProcess -> $childProcess"
} | Group-Object | Sort-Object Count -Descending

Configurez Windows Event Forwarding (WEF) pour centraliser les événements 4688 et réduire le bruit :

1. Créez un filtre XML personnalisé pour exclure les processus système courants :

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4688)]] and
      *[EventData[Data[@Name='NewProcessName'] and (not(contains(., 'svchost.exe')) and not(contains(., 'dwm.exe')) and not(contains(., 'csrss.exe')))]]
    </Select>
  </Query>
</QueryList>

2. Configurez le transfert d'événements sur le serveur collecteur :

# Activer WinRM sur les ordinateurs sources
winrm quickconfig

# Créer un abonnement sur le collecteur
wecutil cs ProcessCreationSubscription.xml

# Vérifier le statut de l'abonnement
wecutil gr ProcessCreationSubscription

Créez une clé de registre pour optimiser les performances de collecte des événements :

HKLM\SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize = 1048576000

Créer une surveillance automatisée pour les modèles de création de processus suspects :

# Script PowerShell pour la surveillance continue
$SuspiciousProcesses = @('cmd.exe', 'powershell.exe', 'wscript.exe', 'cscript.exe', 'mshta.exe')
$AlertThreshold = 10

Register-WmiEvent -Query "SELECT * FROM Win32_ProcessStartTrace" -Action {
    $Process = $Event.SourceEventArgs.NewEvent
    if ($SuspiciousProcesses -contains $Process.ProcessName) {
        $Count = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=(Get-Date).AddMinutes(-5)} | 
                 Where-Object {$_.Message -like "*$($Process.ProcessName)*"}).Count
        
        if ($Count -gt $AlertThreshold) {
            Write-EventLog -LogName Application -Source "Security Monitor" -EventId 9999 -EntryType Warning -Message "Volume élevé d'exécutions de $($Process.ProcessName) détecté : $Count en 5 minutes"
        }
    }
}

# Créer une tâche planifiée pour l'analyse régulière
$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\ProcessMonitor.ps1'
$Trigger = New-ScheduledTaskTrigger -Daily -At 9am
Register-ScheduledTask -Action $Action -Trigger $Trigger -TaskName "ProcessCreationMonitor" -Description "Surveiller l'ID d'événement 4688 pour l'analyse de sécurité"