ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Active Directory Users and Computers console showing security group management interface with audit logs
Event ID 4727InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4727 – Microsoft-Windows-Security-Auditing : Groupe global activé pour la sécurité créé

L'ID d'événement 4727 se déclenche lorsqu'un groupe global activé pour la sécurité est créé dans Active Directory. Cet événement d'audit suit les activités de création de groupe à des fins de surveillance de la sécurité et de conformité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4727Microsoft-Windows-Security-Auditing 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4727 représente un événement d'audit de sécurité fondamental dans les environnements Windows Active Directory. Lorsqu'un groupe global activé pour la sécurité est créé, Windows génère cet événement pour maintenir une piste d'audit complète des modifications du service d'annuaire. L'événement contient des informations médico-légales critiques, y compris le sujet qui a effectué l'action, les détails du groupe cible et les attributs spécifiques attribués lors de la création.

La structure de l'événement comprend plusieurs champs clés : la section Sujet identifie qui a créé le groupe (y compris leur nom de compte, domaine, ID de connexion et SID), tandis que la section Nouveau Groupe fournit des détails sur le groupe créé, y compris son nom, domaine et SID nouvellement attribué. Des attributs supplémentaires tels que le nom de compte SAM, l'historique SID et le type de groupe sont également enregistrés pour une couverture d'audit complète.

Cet événement est particulièrement significatif dans les environnements d'entreprise où le contrôle d'accès basé sur les groupes est le modèle de sécurité principal. Les groupes globaux activés pour la sécurité peuvent se voir attribuer des autorisations pour des ressources à travers la forêt, rendant leur création une opération sensible nécessitant une surveillance. L'événement aide les équipes de sécurité à détecter les activités administratives non autorisées, à suivre la conformité avec les politiques de création de groupes et à enquêter sur les incidents de sécurité potentiels impliquant une escalade de privilèges par la manipulation de l'appartenance à un groupe.

Les systèmes modernes de gestion des informations et des événements de sécurité (SIEM) s'appuient fortement sur l'ID d'événement 4727 pour la détection automatisée des menaces et le reporting de conformité. Le format structuré de l'événement le rend idéal pour l'analyse et la corrélation avec d'autres événements de sécurité afin de construire des chronologies de sécurité complètes et de détecter des schémas d'attaque sophistiqués.

S'applique à

Windows Server 2019Windows Server 2022Windows Server 2025Active Directory Domain Controllers
Analyse

Causes possibles

  • L'administrateur crée un nouveau groupe global avec sécurité activée via la console Utilisateurs et ordinateurs Active Directory
  • Les cmdlets PowerShell comme New-ADGroup sont exécutés pour créer des groupes de sécurité globaux
  • Les opérations LDAP créent de manière programmatique de nouveaux groupes globaux via des applications ou scripts personnalisés
  • Création de groupes via la console de gestion Exchange lors de la création de groupes de sécurité activés pour la messagerie
  • Les systèmes de provisionnement automatisés créent des groupes dans le cadre des processus d'intégration des utilisateurs ou de déploiement d'applications
  • Les outils de migration créent des groupes lors de projets de migration ou de consolidation Active Directory
  • Les solutions tierces de gestion des identités créent des groupes via la synchronisation d'annuaire
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans l'Observateur d'événements

Commencez par examiner les détails de l'événement directement dans le Visualiseur d'événements pour comprendre le contexte de la création du groupe.

  1. Ouvrez Visualiseur d'événements sur le contrôleur de domaine où l'événement s'est produit
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez pour l'ID d'événement 4727 en utilisant l'option de filtre ou la fonctionnalité de recherche
  4. Double-cliquez sur l'événement pour voir des informations détaillées incluant :
    • Sujet : Compte qui a créé le groupe
    • Nouveau Groupe : Détails du groupe créé
    • Attributs : Propriétés et paramètres initiaux du groupe
  5. Notez l'horodatage, le poste de travail source et les détails de la session de connexion pour la corrélation avec d'autres événements
  6. Vérifiez si la création du groupe est conforme aux activités administratives autorisées ou aux processus de gestion des changements
Astuce pro : Recherchez des motifs dans les horaires de création de groupes et les créateurs pour identifier des processus automatisés potentiels ou des activités suspectes.
02

Interroger les événements à l'aide de PowerShell

Utilisez PowerShell pour interroger et analyser efficacement l'ID d'événement 4727 sur plusieurs contrôleurs de domaine pour une surveillance complète.

  1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
  2. Interrogez les événements récents de création de groupe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message
  3. Filtrez les événements par plage de temps spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727; StartTime=$StartTime; EndTime=$EndTime}
  4. Extrayez des détails spécifiques des messages d'événement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727} -MaxEvents 10 | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        TargetUserName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        TargetDomainName = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetDomainName'} | Select-Object -ExpandProperty '#text'
    }
}
  5. Exportez les résultats pour une analyse plus approfondie :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727} -MaxEvents 100 | Export-Csv -Path "C:\Temp\GroupCreationAudit.csv" -NoTypeInformation
Avertissement : Les requêtes importantes sur plusieurs contrôleurs de domaine peuvent affecter les performances. Utilisez des filtres temporels et limitez les résultats de manière appropriée.
03

Vérifier les propriétés et les autorisations du groupe

Examinez l'état actuel et les autorisations du groupe créé pour vous assurer qu'il est conforme aux politiques de sécurité et à l'utilisation prévue.

  1. Ouvrez Active Directory Users and Computers sur un contrôleur de domaine
  2. Activez Advanced Features dans le menu Affichage pour voir tous les attributs
  3. Localisez le groupe mentionné dans l'entrée Event ID 4727
  4. Cliquez avec le bouton droit sur le groupe et sélectionnez Properties
  5. Examinez l'onglet General pour obtenir des informations de base sur le groupe et sa description
  6. Vérifiez l'onglet Members pour voir si des utilisateurs ont été immédiatement ajoutés au groupe
  7. Examinez l'onglet Member Of pour identifier les groupes parents et les autorisations héritées
  8. Examinez l'onglet Security pour vérifier les autorisations explicites attribuées au groupe
  9. Utilisez PowerShell pour obtenir des informations détaillées sur le groupe :
    Get-ADGroup -Identity "GroupName" -Properties * | Select-Object Name, SamAccountName, GroupScope, GroupCategory, Created, CreatedBy, Description, Members
  10. Vérifiez l'appartenance au groupe et les relations imbriquées :
    Get-ADGroupMember -Identity "GroupName" -Recursive | Select-Object Name, ObjectClass, SamAccountName
Pro tip: Comparez l'état actuel du groupe avec les attributs initiaux enregistrés dans l'Event ID 4727 pour détecter toute modification non autorisée.
04

Corréler avec des événements de sécurité connexes

Analyser les événements de sécurité liés pour construire une chronologie complète des activités entourant la création du groupe et identifier les implications potentielles en matière de sécurité.

  1. Rechercher des événements liés dans la même période en utilisant PowerShell :
    $GroupCreationTime = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727} -MaxEvents 1).TimeCreated
$StartTime = $GroupCreationTime.AddMinutes(-30)
$EndTime = $GroupCreationTime.AddMinutes(30)

# Rechercher les changements d'appartenance au groupe (4728, 4729, 4732, 4733)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4728,4729,4732,4733; StartTime=$StartTime; EndTime=$EndTime}
  2. Vérifier les événements de connexion de l'utilisateur qui a créé le groupe :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Message -like "*SubjectUserName*"}
  3. Rechercher les événements d'escalade de privilèges (4672) autour de la même période :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672; StartTime=$StartTime; EndTime=$EndTime}
  4. Rechercher les événements d'accès aux objets si le groupe a été utilisé immédiatement :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4656,4658,4663; StartTime=$StartTime; EndTime=$EndTime}
  5. Créer un rapport de chronologie complet :
    $Events = @()
$Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727,4728,4729,4732,4733,4624,4672; StartTime=$StartTime; EndTime=$EndTime}
$Events | Sort-Object TimeCreated | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='EventType';Expression={switch($_.Id){4727{'Group Created'};4728{'User Added to Group'};4729{'User Removed from Group'};4732{'User Added to Local Group'};4733{'User Removed from Local Group'};4624{'Logon'};4672{'Special Privileges'};default{'Other'}}}}, Message | Export-Csv -Path "C:\Temp\GroupCreationTimeline.csv"
Avertissement : La corrélation des événements sur de grandes fenêtres temporelles peut générer des données importantes. Concentrez-vous sur des plages de temps étroites autour de l'événement de création du groupe.
05

Mettre en œuvre la surveillance et l'alerte automatisées

Configurez une surveillance automatisée pour détecter et alerter en temps réel sur les activités de création de groupes non autorisées ou suspectes.

  1. Créez une tâche planifiée pour surveiller l'ID d'événement 4727 en utilisant PowerShell :
    # Créer un script de surveillance
$ScriptContent = @'
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727; StartTime=(Get-Date).AddHours(-1)} -ErrorAction SilentlyContinue
if ($Events) {
    foreach ($Event in $Events) {
        $EventXML = [xml]$Event.ToXml()
        $Creator = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
        $GroupName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        
        # Envoyer un email d'alerte ou enregistrer dans le SIEM
        Write-EventLog -LogName Application -Source "GroupMonitor" -EventId 1001 -Message "Nouveau groupe de sécurité créé : $GroupName par $Creator à $($Event.TimeCreated)"
    }
}
'@

$ScriptContent | Out-File -FilePath "C:\Scripts\MonitorGroupCreation.ps1"
  2. Enregistrez le script en tant que tâche planifiée :
    $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\MonitorGroupCreation.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "MonitorGroupCreation" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"
  3. Configurez le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 4727 :
    • Sur le serveur collecteur, exécutez : wecutil qc
    • Créez un fichier de configuration d'abonnement pour l'ID d'événement 4727
    • Déployez la configuration WinRM aux contrôleurs de domaine source
  4. Configurez des vues personnalisées dans le Visualiseur d'événements pour un accès rapide :
    • Ouvrez Visualiseur d'événementsVues personnalisées
    • Créez une nouvelle vue personnalisée filtrant pour l'ID d'événement 4727
    • Enregistrez la vue sous "Surveillance de la création de groupe"
  5. Intégrez avec des solutions SIEM en configurant le transfert de journaux :
    # Exemple : Transférer vers Splunk Universal Forwarder
$SplunkConfig = @"
[WinEventLog://Security]
disabled = 0
whitelist = 4727
index = windows_security
"@
$SplunkConfig | Out-File -FilePath "C:\Program Files\SplunkUniversalForwarder\etc\system\local\inputs.conf" -Append
Astuce pro : Combinez la surveillance de l'ID d'événement 4727 avec des données de contexte commercial pour réduire les faux positifs provenant d'activités administratives légitimes.

Aperçu

L'ID d'événement 4727 est un événement d'audit de sécurité qui se déclenche chaque fois qu'un groupe global activé pour la sécurité est créé dans Active Directory. Cet événement apparaît dans le journal de sécurité sur les contrôleurs de domaine et fournit des informations détaillées sur qui a créé le groupe, quand il a été créé, et les propriétés initiales du groupe. L'événement fait partie de la piste d'audit complète de Windows pour la gestion des objets Active Directory et est essentiel pour la surveillance de la sécurité, le reporting de conformité et les enquêtes judiciaires.

Cet événement se déclenche immédiatement après la création réussie d'un groupe par n'importe quelle méthode - Utilisateurs et ordinateurs Active Directory, cmdlets PowerShell, opérations LDAP ou interfaces programmatiques. L'événement capture l'identifiant de sécurité (SID) à la fois du créateur et du groupe nouvellement créé, ainsi que le nom distingué du groupe et ses attributs initiaux. Les administrateurs de domaine surveillent généralement cet événement pour suivre les tentatives de création de groupe non autorisées et maintenir une gouvernance appropriée du contrôle d'accès.

Comprendre l'ID d'événement 4727 est crucial pour les équipes de sécurité gérant les environnements Active Directory, car la création de groupe non autorisée peut conduire à une élévation de privilèges et à des violations de sécurité. L'événement fournit la base pour les systèmes d'alerte automatisés et l'audit de conformité dans les environnements d'entreprise exécutant Windows Server 2025 et les versions antérieures.

Questions Fréquentes

Que signifie l'ID d'événement 4727 et quand se produit-il ?+
L'ID d'événement 4727 indique qu'un groupe global activé pour la sécurité a été créé dans Active Directory. Cet événement se déclenche immédiatement après la création réussie du groupe par n'importe quelle méthode, y compris Utilisateurs et ordinateurs Active Directory, les cmdlets PowerShell comme New-ADGroup, les opérations LDAP ou les interfaces programmatiques. L'événement fournit des informations d'audit détaillées sur qui a créé le groupe, quand il a été créé et les propriétés initiales du groupe. Il est essentiel pour suivre les activités administratives et maintenir la conformité en matière de sécurité dans les environnements Active Directory.
Comment puis-je identifier qui a créé un groupe spécifique en utilisant l'ID d'événement 4727 ?+
L'ID d'événement 4727 contient des informations détaillées sur le sujet dans le message de l'événement. Vous pouvez identifier le créateur en examinant la section Sujet qui inclut le nom du compte, le domaine, l'ID de connexion et l'identifiant de sécurité (SID) de l'utilisateur qui a effectué l'action. Utilisez PowerShell pour extraire ces informations : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4727} | ForEach-Object { $Event = [xml]$_.ToXml(); $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} }. L'événement inclut également le poste de travail source et les détails de la session de connexion pour une piste d'audit complète.
Pourquoi est-ce que je vois plusieurs entrées d'ID d'événement 4727 pour des processus automatisés ?+
De multiples entrées d'ID d'événement 4727 provenant de processus automatisés sont courantes dans les environnements d'entreprise avec des systèmes de gestion d'identité, des outils de provisionnement ou des scripts de migration. Ces systèmes créent souvent des groupes de manière programmatique dans le cadre de l'intégration des utilisateurs, du déploiement d'applications ou des processus de synchronisation de répertoires. Pour distinguer les activités automatisées légitimes des activités suspectes, corrélez les événements avec les fenêtres de maintenance programmées, vérifiez les comptes sources (qui devraient être des comptes de service) et assurez-vous que les modèles de timing correspondent aux horaires d'automatisation attendus. Envisagez de mettre en place une liste blanche pour les comptes de service connus afin de réduire le bruit des alertes.
Comment configurer la surveillance pour détecter la création non autorisée de groupes ?+
Configurez une surveillance complète en créant des scripts PowerShell qui interrogent l'ID d'événement 4727 à intervalles réguliers et alertent sur les activités de création de groupe inattendues. Utilisez Get-WinEvent avec des filtres basés sur le temps pour vérifier les événements récents, puis corrélez avec les processus de gestion des changements approuvés. Mettez en œuvre des tâches planifiées pour exécuter les scripts de surveillance toutes les heures, configurez le transfert d'événements Windows pour centraliser les journaux de tous les contrôleurs de domaine, et intégrez avec des solutions SIEM pour des alertes automatisées. Créez des vues personnalisées dans l'Observateur d'événements et établissez des modèles de référence de création de groupe normale pour identifier efficacement les anomalies.
Que devrais-je examiner si je trouve des entrées d'ID d'événement 4727 suspectes ?+
Lors de l'examen des entrées suspectes de l'ID d'événement 4727, vérifiez d'abord la légitimité du compte créateur et vérifiez si l'action est conforme aux processus de gestion des changements approuvés. Examinez les propriétés actuelles du groupe, son adhésion et ses autorisations pour évaluer l'impact potentiel sur la sécurité. Corrélez avec des événements connexes comme 4728 (utilisateur ajouté au groupe), 4624 (événements de connexion) et 4672 (privilèges spéciaux attribués) dans la même période. Vérifiez la station de travail source, examinez les activités de connexion récentes du compte créateur et vérifiez si le groupe a été utilisé pour accéder à des ressources sensibles. Documentez les résultats et escaladez vers les équipes de sécurité si une activité administrative non autorisée est confirmée.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4727 and related group management audit events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Active Directory Security Best PracticesMicrosoft's official guidance on securing Active Directory environments and implementing proper audit policies for group management.https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#active-directory#security-auditing#event-id-4727

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...