ID d'événement Windows 4731 – Microsoft-Windows-Security-Auditing : Membre de groupe local activé pour la sécurité ajouté

Commencez par examiner les détails spécifiques de l'entrée de l'ID d'événement 4731 pour comprendre quel changement s'est produit.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal pour l'ID d'événement 4731 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4731 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4731 pour voir ses détails
6. Examinez l'onglet Général pour obtenir des informations clés:
   • Sujet: Qui a effectué l'action
   • Membre: Quel compte a été ajouté
   • Groupe: Nom du groupe cible et SID
   • Privilèges: Privilèges spéciaux utilisés
7. Vérifiez l'onglet Détails pour les données XML brutes si nécessaire pour une analyse plus approfondie

Utilisez PowerShell pour analyser de manière programmatique les occurrences de l'ID d'événement 4731 et extraire les informations pertinentes.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents 4731 avec un filtrage de base :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4731} -MaxEvents 50

3. Extrayez des informations détaillées des événements :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4731} -MaxEvents 20 | ForEach-Object {
       $xml = [xml]$_.ToXml()
       $eventData = $xml.Event.EventData.Data
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           SubjectUserName = ($eventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           MemberName = ($eventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
           GroupName = ($eventData | Where-Object {$_.Name -eq 'GroupName'}).'#text'
           MemberSid = ($eventData | Where-Object {$_.Name -eq 'MemberSid'}).'#text'
       }
   }

4. Filtrez les événements par plage de temps spécifique :

   $StartTime = (Get-Date).AddDays(-7)
   $EndTime = Get-Date
   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4731; StartTime=$StartTime; EndTime=$EndTime}

5. Exportez les résultats en CSV pour analyse :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4731} -MaxEvents 100 | 
   Select-Object TimeCreated, Id, LevelDisplayName, Message | 
   Export-Csv -Path "C:\Temp\Event4731_Analysis.csv" -NoTypeInformation

Recoupez les données de l'événement avec les adhésions actuelles aux groupes pour comprendre l'impact des changements.

1. Listez tous les groupes locaux sur le système :

   Get-LocalGroup

2. Vérifiez l'adhésion des groupes de sécurité spécifiques mentionnés dans les événements :

   Get-LocalGroupMember -Group "Administrators"
   Get-LocalGroupMember -Group "Remote Desktop Users"
   Get-LocalGroupMember -Group "Backup Operators"

3. Pour une vue d'ensemble de toutes les adhésions aux groupes :

   Get-LocalGroup | ForEach-Object {
       $groupName = $_.Name
       Write-Host "Group: $groupName" -ForegroundColor Green
       try {
           Get-LocalGroupMember -Group $groupName | Select-Object Name, ObjectClass, PrincipalSource
       } catch {
           Write-Host "  No members or access denied" -ForegroundColor Yellow
       }
       Write-Host ""
   }

4. Comparez avec les adhésions aux groupes de domaine si applicable :

   net user [username] /domain

5. Utilisez la Gestion de l'ordinateur pour la vérification GUI :
   • Cliquez droit sur Ce PC → Gérer
   • Développez Utilisateurs et groupes locaux → Groupes
   • Double-cliquez sur les groupes mentionnés dans l'événement 4731 pour vérifier l'adhésion actuelle

Assurez-vous de configurer correctement la politique d'audit pour capturer tous les changements pertinents d'appartenance à des groupes.

1. Vérifiez les paramètres actuels de la politique d'audit :

   auditpol /get /subcategory:"Security Group Management"

2. Activez l'audit complet pour la gestion des groupes de sécurité :

   auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable

3. Vérifiez que la politique est appliquée :

   auditpol /get /subcategory:"Security Group Management"

4. Configurez via la stratégie de groupe pour les environnements de domaine :
   • Ouvrez la Console de gestion des stratégies de groupe
   • Modifiez le GPO approprié
   • Accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit
   • Développez Gestion des comptes
   • Configurez Audit de la gestion des groupes de sécurité pour les réussites et les échecs
5. Vérifiez la taille du journal de sécurité et les paramètres de rétention :

   Get-WinEvent -ListLog Security | Select-Object LogName, MaximumSizeInBytes, RecordCount

6. Augmentez la taille du journal si nécessaire :

   wevtutil sl Security /ms:104857600

Configurez une surveillance proactive pour détecter et alerter sur les changements suspects d'appartenance à des groupes.

1. Créez un script PowerShell pour une surveillance continue :

   # Enregistrez sous Monitor-GroupChanges.ps1
   $LastCheck = (Get-Date).AddMinutes(-5)
   $Events = Get-WinEvent -FilterHashtable @{
       LogName='Security'
       Id=4731
       StartTime=$LastCheck
   } -ErrorAction SilentlyContinue
   
   if ($Events) {
       foreach ($Event in $Events) {
           $xml = [xml]$Event.ToXml()
           $EventData = $xml.Event.EventData.Data
           $GroupName = ($EventData | Where-Object {$_.Name -eq 'GroupName'}).'#text'
           $MemberName = ($EventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
           $SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           
           # Alerte pour les groupes critiques
           if ($GroupName -in @('Administrators', 'Domain Admins', 'Enterprise Admins')) {
               Write-Host "ALERTE : $MemberName ajouté à $GroupName par $SubjectUserName" -ForegroundColor Red
               # Ajoutez ici une notification par email ou une intégration SIEM
           }
       }
   }

2. Planifiez le script à l'aide du Planificateur de tâches :

   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-GroupChanges.ps1"
   $Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
   $Principal = New-ScheduledTaskPrincipal -UserID "SYSTEM" -LogonType ServiceAccount
   Register-ScheduledTask -TaskName "MonitorGroupChanges" -Action $Action -Trigger $Trigger -Principal $Principal

3. Configurez le transfert d'événements Windows pour une journalisation centralisée :
   • Sur le serveur collecteur : wecutil qc
   • Créez un abonnement : wecutil cs subscription.xml
   • Configurez les ordinateurs sources pour transférer les événements de sécurité
4. Configurez des vues personnalisées dans le Visualiseur d'événements :
   • Dans le Visualiseur d'événements, cliquez avec le bouton droit sur Vues personnalisées → Créer une vue personnalisée
   • Filtrez pour l'ID d'événement 4731 avec des critères spécifiques
   • Enregistrez sous "Changements de groupes critiques" pour un accès rapide
5. Intégrez avec des solutions SIEM en configurant le transfert de journaux ou en utilisant le Collecteur d'événements Windows