ID d'événement Windows 4693 – Microsoft-Windows-Security-Auditing : Tentative d'accès à un objet système protégé

Commencez par examiner les détails spécifiques de l'ID d'événement 4693 pour comprendre le contexte de la tentative d'accès.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4693 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4693 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4693 pour voir les détails. Champs clés à examiner :
   • Sujet : Montre le compte effectuant la tentative d'accès
   • Objet : Affiche l'objet protégé en cours d'accès
   • Informations sur le processus : Révèle l'exécutable effectuant la demande
   • Informations sur la demande d'accès : Montre les autorisations spécifiques demandées
6. Notez l'horodatage, le nom du processus et le chemin de l'objet pour la corrélation avec d'autres événements de sécurité

Exploitez PowerShell pour effectuer une analyse détaillée et une corrélation des occurrences de l'ID d'événement 4693.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents 4693 avec des informations détaillées :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4693} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

3. Filtrez les événements par noms de processus spécifiques pour identifier des motifs :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4693} | Where-Object {$_.Message -like "*suspicious_process.exe*"} | Select-Object TimeCreated, Message

4. Analysez les événements par compte utilisateur pour détecter des motifs d'accès inhabituels :

   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4693} -MaxEvents 100
   $Events | ForEach-Object {
       $Event = [xml]$_.ToXml()
       $Subject = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
       [PSCustomObject]@{
           Time = $_.TimeCreated
           User = $Subject
           ProcessName = ($Event.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text')
           ObjectName = ($Event.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text')
       }
   } | Group-Object User | Sort-Object Count -Descending

5. Exportez les résultats pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4693} -MaxEvents 200 | Export-Csv -Path "C:\Temp\Event4693_Analysis.csv" -NoTypeInformation

Optimisez les paramètres de la stratégie d'audit pour garantir une journalisation complète des tentatives d'accès aux objets protégés.

1. Ouvrez l'Éditeur de stratégie de groupe locale en exécutant gpedit.msc (ou utilisez la gestion des stratégies de groupe pour les environnements de domaine)
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit
3. Développez Accès aux objets et configurez les politiques suivantes:
   • Audit des objets du noyau: Réglez sur Succès et Échec
   • Audit des autres événements d'accès aux objets: Réglez sur Succès et Échec
   • Audit du registre: Réglez sur Succès et Échec pour une surveillance complète du registre
4. Appliquez la politique en utilisant PowerShell pour un effet immédiat:

   auditpol /set /subcategory:"Kernel Object" /success:enable /failure:enable
   auditpol /set /subcategory:"Other Object Access Events" /success:enable /failure:enable
   auditpol /set /subcategory:"Registry" /success:enable /failure:enable

5. Vérifiez les paramètres actuels de la stratégie d'audit:

   auditpol /get /category:"Object Access"

6. Pour les environnements de domaine, mettez à jour la stratégie des contrôleurs de domaine par défaut pour garantir une journalisation cohérente sur tous les contrôleurs de domaine

Effectuer une analyse approfondie pour comprendre la relation entre les processus et les objets protégés étant accédés.

1. Utilisez Process Monitor (ProcMon) pour corréler l'activité en temps réel avec les occurrences de l'événement 4693:
   • Téléchargez ProcMon depuis Microsoft Sysinternals
   • Exécutez ProcMon avec des privilèges administratifs
   • Définissez des filtres pour surveiller les processus spécifiques identifiés dans l'événement 4693
2. Examinez les objets protégés étant accédés en utilisant PowerShell:

   # Obtenir des informations de sécurité de l'objet
   $ObjectPath = "HKLM\SECURITY"  # Remplacez par le chemin réel de l'objet de l'événement
   Get-Acl -Path "Registry::$ObjectPath" | Format-List
   
   # Vérifiez la propriété et les permissions de l'objet
   (Get-Acl -Path "Registry::$ObjectPath").Owner
   (Get-Acl -Path "Registry::$ObjectPath").Access | Format-Table IdentityReference, AccessControlType, RegistryRights -AutoSize

3. Analysez les niveaux d'intégrité et les privilèges des processus:

   # Vérifiez les processus en cours et leurs niveaux d'intégrité
   Get-Process | Where-Object {$_.ProcessName -eq "ProcessNameFromEvent"} | ForEach-Object {
       $Process = $_
       $Handle = [System.Diagnostics.Process]::GetProcessById($Process.Id)
       Write-Host "Processus: $($Process.ProcessName) - PID: $($Process.Id)"
   }

4. Examinez l'intégrité des fichiers système si des fichiers système sont accédés:

   sfc /verifyonly

5. Vérifiez les changements récents du système qui pourraient expliquer de nouveaux schémas d'accès:

   # Examinez les installations logicielles récentes
   Get-WinEvent -FilterHashtable @{LogName='Application'; Id=1033,1034} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message

Déployer des solutions de surveillance complètes pour l'analyse continue de l'événement 4693 et les capacités de réponse automatisée.

1. Configurer le transfert d'événements Windows (WEF) pour la collecte centralisée des journaux :

   # Sur le serveur collecteur, configurer l'abonnement
   wecutil cs subscription.xml
   
   # Créer un fichier XML d'abonnement avec le filtre de l'événement 4693
   $SubscriptionXML = @"
   <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
       <SubscriptionId>Event4693Collection</SubscriptionId>
       <SubscriptionType>SourceInitiated</SubscriptionType>
       <Description>Collecter l'ID d'événement 4693 de tous les systèmes du domaine</Description>
       <Enabled>true</Enabled>
       <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
       <ConfigurationMode>Normal</ConfigurationMode>
       <Query><![CDATA[
           <QueryList>
               <Query Id="0">
                   <Select Path="Security">*[System[EventID=4693]]</Select>
               </Query>
           </QueryList>
       ]]></Query>
   </Subscription>
   "@
   $SubscriptionXML | Out-File -FilePath "C:\Temp\Event4693Subscription.xml" -Encoding UTF8

2. Configurer des alertes automatisées à l'aide de PowerShell et du Planificateur de tâches :

   # Créer une tâche planifiée pour surveiller les événements 4693 suspects
   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor4693.ps1"
   $Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5)
   $Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
   Register-ScheduledTask -TaskName "Monitor Event 4693" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

3. S'intégrer à Microsoft Sentinel ou à des solutions SIEM tierces pour des analyses avancées
4. Créer des règles de détection personnalisées basées sur des modèles de comportement de référence
5. Mettre en œuvre des flux de travail de réponse automatisée pour les tentatives d'accès à haut risque
6. Configurer des politiques de rétention des journaux pour conserver les données historiques pour l'analyse judiciaire :

   # Définir la taille et la rétention du journal de sécurité
   Limit-EventLog -LogName Security -MaximumSize 512MB -OverflowAction OverwriteAsNeeded