ID d'événement Windows 4706 – Microsoft-Windows-Security-Auditing : Objet du service d'annuaire créé

Commencez par examiner l'événement 4706 spécifique pour comprendre quel objet a été créé et par qui.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4706 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir les informations détaillées
5. Examinez la section Sujet pour identifier qui a créé l'objet
6. Vérifiez la section Objet pour le Nom Distingué et la Classe d'Objet
7. Notez les Informations sur le processus pour voir quelle application a effectué la création

Utilisez PowerShell pour interroger plusieurs événements 4706 efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4706} -MaxEvents 50 | Select-Object TimeCreated, @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[0] -replace '.*Account Name:\s*',''}}, @{Name='ObjectDN';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Object DN:*'})[0] -replace '.*Object DN:\s*',''}}

Enquêter sur les modèles de création inhabituels qui pourraient indiquer une activité non autorisée ou des problèmes système.

1. Interroger les événements des dernières 24 heures pour identifier les créations récentes :

$StartTime = (Get-Date).AddDays(-1)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4706; StartTime=$StartTime}
$Events | ForEach-Object {
    $Message = $_.Message
    $User = ($Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[0] -replace '.*Account Name:\s*',''
    $ObjectDN = ($Message -split '\n' | Where-Object {$_ -like '*Object DN:*'})[0] -replace '.*Object DN:\s*',''
    $ObjectClass = ($Message -split '\n' | Where-Object {$_ -like '*Object Class:*'})[0] -replace '.*Object Class:\s*',''
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = $User
        ObjectDN = $ObjectDN
        ObjectClass = $ObjectClass
    }
} | Sort-Object TimeCreated

2. Regrouper les créations par utilisateur pour identifier les opérations en masse :

$Events | Group-Object User | Sort-Object Count -Descending | Select-Object Name, Count

3. Filtrer pour des types d'objets spécifiques comme les comptes utilisateurs :

$Events | Where-Object {$_.ObjectClass -eq 'user'} | Format-Table TimeCreated, User, ObjectDN -AutoSize

Corrélez les événements 4706 avec d'autres événements d'audit Active Directory pour obtenir une image complète des changements de l'annuaire.

1. Vérifiez les événements connexes survenus à peu près au même moment :

$TargetTime = Get-Date '2026-03-18 14:30:00'
$TimeWindow = 300 # 5 minutes
$StartTime = $TargetTime.AddSeconds(-$TimeWindow)
$EndTime = $TargetTime.AddSeconds($TimeWindow)

# Obtenez les événements AD connexes
$RelatedEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    Id=4662,4706,4728,4729,4732,4733,4756,4757
    StartTime=$StartTime
    EndTime=$EndTime
} | Sort-Object TimeCreated

2. Examinez les journaux du service d'annuaire pour un contexte supplémentaire :

Get-WinEvent -FilterHashtable @{LogName='Directory Service'; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.LevelDisplayName -eq 'Warning' -or $_.LevelDisplayName -eq 'Error'}

3. Vérifiez le journal des services Web Active Directory pour les opérations LDAP :

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-ActiveDirectory_WebServices/Operational'; StartTime=$StartTime; EndTime=$EndTime}

Déterminez la source et la légitimité de la création d'objets en analysant les informations de processus et le contexte réseau.

1. Extraire les informations de processus des événements 4706 pour identifier les outils de création :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4706} -MaxEvents 100
$Events | ForEach-Object {
    $Message = $_.Message
    $ProcessName = ($Message -split '\n' | Where-Object {$_ -like '*Process Name:*'})[0] -replace '.*Process Name:\s*',''
    $ProcessId = ($Message -split '\n' | Where-Object {$_ -like '*Process ID:*'})[0] -replace '.*Process ID:\s*',''
    $ClientAddress = ($Message -split '\n' | Where-Object {$_ -like '*Client Address:*'})[0] -replace '.*Client Address:\s*',''
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        ProcessName = $ProcessName
        ProcessId = $ProcessId
        ClientAddress = $ClientAddress
        User = ($Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[0] -replace '.*Account Name:\s*',''
    }
} | Group-Object ProcessName | Sort-Object Count -Descending

2. Vérifiez la légitimité des processus de création en vérifiant les signatures numériques :

# Vérifiez les outils de gestion AD courants
$CommonTools = @(
    'C:\Windows\System32\dsa.exe',
    'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe',
    'C:\Program Files\Microsoft\Exchange Server\V15\Bin\MSExchangeADTopology.exe'
)

$CommonTools | ForEach-Object {
    if (Test-Path $_) {
        Get-AuthenticodeSignature $_ | Select-Object Path, Status, SignerCertificate
    }
}

3. Analysez les adresses client pour les tentatives de création à distance :

# Identifier les créations d'objets non locales
$RemoteCreations = $Events | Where-Object {$_.ClientAddress -ne '::1' -and $_.ClientAddress -ne '127.0.0.1' -and $_.ClientAddress -ne '-'}
$RemoteCreations | Group-Object ClientAddress | Sort-Object Count -Descending

Configurez une surveillance proactive pour détecter les modèles de création d'objets suspects et automatiser les procédures de réponse.

1. Créez une tâche planifiée pour surveiller les modèles 4706 inhabituels :

# Créer un script de surveillance
$MonitoringScript = @'
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4706; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue
if ($Events.Count -gt 10) {
    $Alert = "Volume élevé de création d'objets AD détecté : $($Events.Count) objets dans la dernière heure"
    Write-EventLog -LogName Application -Source "AD Monitor" -EventId 1001 -EntryType Warning -Message $Alert
    # Envoyer une alerte par email ici si configuré
}
'@

$MonitoringScript | Out-File -FilePath 'C:\Scripts\Monitor-ADCreation.ps1' -Encoding UTF8

2. Configurez le transfert d'événements Windows pour centraliser les événements 4706 :

# Sur le serveur collecteur, créer une souscription
wecutil cs ADObjectCreation.xml

Créez le fichier XML de souscription :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>ADObjectCreation</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Transférer les événements de création d'objets AD</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4706]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>

3. Configurez le filtrage personnalisé des journaux d'événements pour les opérations de sécurité :

# Créer une vue personnalisée dans le Visualiseur d'événements
$CustomViewXML = @'
<ViewerConfig>
    <QueryConfig>
        <QueryParams>
            <UserQuery />
        </QueryParams>
        <QueryNode>
            <Name>Surveillance de la création d'objets AD</Name>
            <QueryList>
                <Query Id="0" Path="Security">
                    <Select>*[System[EventID=4706]]</Select>
                </Query>
            </QueryList>
        </QueryNode>
    </QueryConfig>
</ViewerConfig>
'@

$CustomViewXML | Out-File -FilePath "$env:USERPROFILE\Desktop\ADObjectCreation.xml"