ID d'événement Windows 4733 – Microsoft-Windows-Security-Auditing : Membre du groupe de sécurité supprimé

Commencez par examiner les détails spécifiques de l'ID d'événement 4733 pour comprendre quel changement d'appartenance à un groupe s'est produit.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 4733 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4733 pour voir les informations détaillées
6. Examinez l'onglet Général pour les détails clés:
   • Sujet: Compte qui a effectué la suppression
   • Membre: Compte qui a été retiré du groupe
   • Groupe: Groupe de sécurité qui a été modifié
   • Informations supplémentaires: Privilèges utilisés pour l'opération
7. Vérifiez l'onglet Détails pour le format XML avec des informations de champ complètes
8. Notez l'horodatage pour corréler avec d'autres événements de sécurité si vous enquêtez sur un incident

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4733 dans votre environnement.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents 4733 avec un filtrage de base :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4733} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Recherchez des modifications spécifiques de groupe :

   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4733}
   $Events | Where-Object {$_.Message -like '*Domain Admins*'} | Select-Object TimeCreated, Message

4. Extrayez des données structurées des messages d'événement :

   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4733} -MaxEvents 100
   foreach ($Event in $Events) {
       $XML = [xml]$Event.ToXml()
       $EventData = $XML.Event.EventData.Data
       [PSCustomObject]@{
           TimeCreated = $Event.TimeCreated
           SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           MemberName = ($EventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
           GroupName = ($EventData | Where-Object {$_.Name -eq 'GroupName'}).'#text'
       }
   }

5. Exportez les résultats pour analyse :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4733} | Export-Csv -Path "C:\Temp\GroupRemovals.csv" -NoTypeInformation

Recoupez l'ID d'événement 4733 avec d'autres événements Active Directory pour obtenir une image complète des changements d'appartenance au groupe.

1. Activez la stratégie d'audit avancée si elle n'est pas déjà configurée :

   auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable

2. Interrogez les événements de sécurité liés pour une analyse complète :

   # Obtenez les événements de gestion de groupe des dernières 24 heures
   $StartTime = (Get-Date).AddDays(-1)
   $GroupEvents = Get-WinEvent -FilterHashtable @{
       LogName='Security'
       Id=4728,4729,4732,4733,4756,4757
       StartTime=$StartTime
   } | Sort-Object TimeCreated

3. Vérifiez les événements correspondants d'ID d'événement 4732 (membre ajouté) :

   $AddEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4732}
   $RemoveEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4733}
   # Comparez pour identifier les comptes déplacés entre les groupes

4. Examinez les journaux du service d'annuaire sur les contrôleurs de domaine :
   • Accédez à Applications and Services Logs → Directory Service
   • Cherchez des événements liés aux modifications de groupe
   • Vérifiez les événements de réplication si des changements ont eu lieu sur plusieurs DC
5. Examinez le journal de sécurité sur les serveurs membres pour les changements de groupe local :

   Invoke-Command -ComputerName "Server01","Server02" -ScriptBlock {
       Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4733} -MaxEvents 10
   }

Configurez une surveillance proactive pour l'ID d'événement 4733 afin de détecter les changements non autorisés d'appartenance à un groupe en temps réel.

1. Créez un abonnement personnalisé pour le transfert d'événements Windows :
   • Sur votre serveur collecteur, ouvrez Observateur d'événements
   • Cliquez avec le bouton droit sur Abonnements et sélectionnez Créer un abonnement
   • Configurez les ordinateurs sources et ajoutez cette requête XPath :

     *[System[(EventID=4733)]]

2. Configurez un script de surveillance basé sur PowerShell :

   # Enregistrez sous Monitor-GroupRemovals.ps1
   $Action = {
       $Event = $Event.SourceEventArgs.NewEvent
       $XML = [xml]$Event.ToXml()
       $EventData = $XML.Event.EventData.Data
       $GroupName = ($EventData | Where-Object {$_.Name -eq 'GroupName'}).'#text'
       $MemberName = ($EventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
       
       if ($GroupName -like '*Admin*' -or $GroupName -like '*Privileged*') {
           Send-MailMessage -To "security@company.com" -From "monitoring@company.com" `
               -Subject "Critical Group Removal Alert" `
               -Body "User $MemberName removed from $GroupName at $(Get-Date)" `
               -SmtpServer "mail.company.com"
       }
   }
   
   Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4733" -Action $Action

3. Configurez le Planificateur de tâches Windows pour un audit régulier :
   • Créez une tâche planifiée qui exécute le script de surveillance
   • Définissez des déclencheurs appropriés en fonction de vos exigences de sécurité
   • Configurez des notifications par e-mail pour les changements critiques de groupe
4. Intégrez avec des solutions SIEM :
   • Configurez le transfert de journaux vers votre plateforme SIEM
   • Créez des règles de corrélation pour les modèles de modification de groupe suspects
   • Configurez des tableaux de bord pour visualiser les tendances d'appartenance à des groupes

Effectuer une analyse complète de l'ID d'événement 4733 pour les enquêtes de sécurité et les rapports de conformité.

1. Créer des requêtes médico-légales détaillées pour l'enquête sur les incidents:

   # Script d'analyse avancée
   $StartDate = (Get-Date).AddDays(-30)
   $Events = Get-WinEvent -FilterHashtable @{
       LogName='Security'
       Id=4733
       StartTime=$StartDate
   }
   
   $Analysis = foreach ($Event in $Events) {
       $XML = [xml]$Event.ToXml()
       $EventData = $XML.Event.EventData.Data
       
       [PSCustomObject]@{
           TimeCreated = $Event.TimeCreated
           Computer = $Event.MachineName
           SubjectUserName = ($EventData | Where-Object {$_.Name -eq 'SubjectUserName'}).'#text'
           SubjectDomainName = ($EventData | Where-Object {$_.Name -eq 'SubjectDomainName'}).'#text'
           MemberName = ($EventData | Where-Object {$_.Name -eq 'MemberName'}).'#text'
           MemberSid = ($EventData | Where-Object {$_.Name -eq 'MemberSid'}).'#text'
           GroupName = ($EventData | Where-Object {$_.Name -eq 'GroupName'}).'#text'
           GroupDomain = ($EventData | Where-Object {$_.Name -eq 'GroupDomain'}).'#text'
           PrivilegeList = ($EventData | Where-Object {$_.Name -eq 'PrivilegeList'}).'#text'
       }
   }
   
   # Générer un rapport de conformité
   $Analysis | Export-Csv -Path "C:\Reports\GroupRemovalAudit_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

2. Analyser les modèles pour les anomalies de sécurité:

   # Identifier des modèles d'activité inhabituels
   $GroupedByUser = $Analysis | Group-Object SubjectUserName | Sort-Object Count -Descending
   $GroupedByGroup = $Analysis | Group-Object GroupName | Sort-Object Count -Descending
   $GroupedByTime = $Analysis | Group-Object {$_.TimeCreated.Hour} | Sort-Object Name
   
   # Signaler des préoccupations potentielles de sécurité
   $SuspiciousActivity = $Analysis | Where-Object {
       $_.GroupName -like '*Admin*' -and 
       $_.TimeCreated.Hour -lt 6 -or $_.TimeCreated.Hour -gt 22
   }

3. Recouper avec les modifications de compte utilisateur:

   # Corréler avec les événements de gestion de compte
   $AccountEvents = Get-WinEvent -FilterHashtable @{
       LogName='Security'
       Id=4720,4722,4725,4726,4738
       StartTime=$StartDate
   }
   
   # Trouver des comptes retirés des groupes peu après leur création/modification

4. Générer des rapports de synthèse pour la direction:
   • Créer des tableaux de bord PowerBI montrant les tendances de modification de groupe
   • Générer des rapports de conformité mensuels pour les équipes d'audit
   • Mettre en œuvre des rapports automatisés pour la conformité SOX/HIPAA
5. Documenter les conclusions et recommandations:
   • Maintenir la documentation de réponse aux incidents
   • Mettre à jour les politiques de sécurité en fonction des résultats de l'analyse
   • Fournir des recommandations de formation pour les administrateurs