ID d'événement Windows 4735 – Microsoft-Windows-Security-Auditing : Groupe local activé pour la sécurité modifié

Commencez par examiner les détails spécifiques de l'ID d'événement 4735 pour comprendre ce qui a changé et qui a initié la modification.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 4735 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur une entrée récente de l'ID d'événement 4735 pour voir les informations détaillées
6. Examinez les champs clés suivants dans les détails de l'événement:
   • Sujet: Indique qui a effectué le changement (Nom du compte et Domaine du compte)
   • Groupe: Affiche le nom du groupe modifié et le SID
   • Attributs modifiés: Liste les modifications spécifiques apportées au groupe
   • Informations supplémentaires: Contient les privilèges utilisés et les informations sur le processus
7. Recoupez l'horodatage avec d'autres événements de sécurité pour établir une chronologie des activités

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4735 sur plusieurs systèmes ou périodes.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes de l'ID d'événement 4735 avec des informations détaillées :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4735} -MaxEvents 50 | ForEach-Object {
       $xml = [xml]$_.ToXml()
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           SubjectUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
           SubjectDomainName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
           TargetUserName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
           TargetSid = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetSid'} | Select-Object -ExpandProperty '#text'
           GroupName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'GroupName'} | Select-Object -ExpandProperty '#text'
       }
   } | Format-Table -AutoSize

3. Filtrez les événements par plage de temps spécifique pour enquêter sur les incidents :

   $StartTime = (Get-Date).AddDays(-7)
   $EndTime = Get-Date
   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4735; StartTime=$StartTime; EndTime=$EndTime}

4. Exportez les résultats vers un fichier CSV pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4735} -MaxEvents 100 | Export-Csv -Path "C:\Temp\Event4735_Analysis.csv" -NoTypeInformation

5. Interrogez plusieurs systèmes distants simultanément :

   $Computers = @('Server01', 'Server02', 'Workstation01')
   Invoke-Command -ComputerName $Computers -ScriptBlock {
       Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4735} -MaxEvents 10
   } | Select-Object PSComputerName, TimeCreated, Id, LevelDisplayName, Message

Vérifiez les configurations actuelles des groupes locaux pour comprendre l'impact des changements détectés et identifier toute modification non autorisée.

1. Listez tous les groupes locaux et leurs adhésions actuelles :

   Get-LocalGroup | ForEach-Object {
       $GroupName = $_.Name
       Write-Host "Groupe : $GroupName" -ForegroundColor Green
       try {
           Get-LocalGroupMember -Group $GroupName | Select-Object Name, ObjectClass, PrincipalSource | Format-Table
       } catch {
           Write-Host "  Aucun membre ou accès refusé" -ForegroundColor Yellow
       }
       Write-Host ""
   }

2. Concentrez-vous sur les groupes privilégiés qui apparaissent couramment dans les incidents de sécurité :

   $PrivilegedGroups = @('Administrators', 'Remote Desktop Users', 'Backup Operators', 'Power Users')
   foreach ($Group in $PrivilegedGroups) {
       Write-Host "=== $Group ===" -ForegroundColor Cyan
       try {
           Get-LocalGroupMember -Group $Group | Select-Object Name, ObjectClass, PrincipalSource
       } catch {
           Write-Host "Groupe non trouvé ou accès refusé" -ForegroundColor Red
       }
   }

3. Comparez les adhésions actuelles avec les configurations de référence stockées dans la documentation ou les exportations précédentes
4. Vérifiez les comptes récemment ajoutés qui pourraient indiquer une compromission :

   Get-LocalUser | Where-Object {$_.Enabled -eq $true -and $_.LastLogon -gt (Get-Date).AddDays(-30)} | Select-Object Name, LastLogon, PasswordLastSet

5. Vérifiez que les changements d'adhésion aux groupes sont conformes aux enregistrements de gestion des changements ou aux activités administratives autorisées

Implémentez des politiques d'audit complètes pour assurer une journalisation appropriée des modifications des groupes locaux et des événements de sécurité connexes.

1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée des politiques d'audit → Politiques d'audit
3. Configurez les sous-catégories d'audit suivantes pour une surveillance complète des modifications de groupe:
   • Gestion des comptes → Audit de la gestion des groupes de sécurité: Réglez sur Succès et Échec
   • Gestion des comptes → Audit de la gestion des comptes utilisateurs: Réglez sur Succès et Échec
   • Utilisation des privilèges → Audit de l'utilisation des privilèges sensibles: Réglez sur Succès et Échec
4. Vérifiez les paramètres d'audit actuels à l'aide de PowerShell:

   auditpol /get /subcategory:"Security Group Management"
   auditpol /get /subcategory:"User Account Management"
   auditpol /get /subcategory:"Sensitive Privilege Use"

5. Configurez les paramètres d'audit via la ligne de commande si la stratégie de groupe n'est pas disponible:

   auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
   auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable

6. Configurez la rétention et l'archivage des journaux de sécurité pour éviter la perte de données d'audit:
   • Ouvrez Event Viewer → Journaux Windows → Sécurité
   • Cliquez avec le bouton droit sur Sécurité et sélectionnez Propriétés
   • Augmentez la Taille maximale du journal à au moins 100 Mo
   • Sélectionnez Archiver le journal lorsqu'il est plein, ne pas écraser les événements
7. Envisagez de mettre en œuvre le transfert d'événements Windows (WEF) pour une collecte centralisée des journaux dans les environnements d'entreprise

Déployez des solutions de surveillance automatisées pour détecter et répondre aux changements non autorisés de groupes locaux en temps réel.

1. Créez un script PowerShell pour la surveillance continue de l'ID d'événement 4735:

   # Enregistrez sous Monitor-LocalGroupChanges.ps1
   param(
       [int]$CheckIntervalMinutes = 5,
       [string]$AlertEmail = "security@company.com",
       [string]$SMTPServer = "mail.company.com"
   )
   
   $LastCheck = (Get-Date).AddMinutes(-$CheckIntervalMinutes)
   $Events = Get-WinEvent -FilterHashtable @{
       LogName='Security'
       Id=4735
       StartTime=$LastCheck
   } -ErrorAction SilentlyContinue
   
   if ($Events) {
       $AlertBody = "Détecté $($Events.Count) changements de groupes locaux:\n\n"
       foreach ($Event in $Events) {
           $xml = [xml]$Event.ToXml()
           $Subject = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
           $Group = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'GroupName'} | Select-Object -ExpandProperty '#text'
           $AlertBody += "Heure: $($Event.TimeCreated)\nUtilisateur: $Subject\nGroupe: $Group\n\n"
       }
       
       Send-MailMessage -To $AlertEmail -From "noreply@company.com" -Subject "Changements de groupes locaux détectés" -Body $AlertBody -SmtpServer $SMTPServer
   }

2. Planifiez le script de surveillance à l'aide du Planificateur de tâches:

   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor-LocalGroupChanges.ps1"
   $Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
   $Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
   Register-ScheduledTask -TaskName "Monitor Local Group Changes" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

3. Configurez le transfert d'événements Windows pour une surveillance centralisée:
   • Sur le serveur collecteur, exécutez: wecutil qc
   • Créez un fichier de configuration d'abonnement pour l'ID d'événement 4735
   • Configurez les ordinateurs sources pour transférer les événements de sécurité
4. Intégrez avec des solutions SIEM en configurant le transfert de journaux vers des outils comme Splunk, QRadar ou Azure Sentinel
5. Configurez des règles de corrélation pour détecter des modèles comme plusieurs changements de groupes à partir du même compte ou des changements en dehors des heures de travail
6. Mettez en œuvre des actions de réponse automatisées telles que la désactivation de comptes ou le déclenchement de workflows de réponse aux incidents lorsque des modèles suspects sont détectés