ID d'événement Windows 4748 – Microsoft-Windows-Security-Auditing : Compte d'ordinateur supprimé

Commencez par examiner les détails spécifiques de l'ID d'événement 4748 pour comprendre quel compte d'ordinateur a été supprimé et qui a effectué l'action.

1. Ouvrez Observateur d'événements sur le contrôleur de domaine
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4748 en utilisant l'option de filtre
4. Double-cliquez sur l'événement pour voir les informations détaillées
5. Examinez la section Sujet pour identifier qui a supprimé le compte
6. Vérifiez la section Compte cible pour le nom de l'ordinateur supprimé
7. Notez l'ID de connexion pour corréler avec d'autres événements de sécurité

Utilisez PowerShell pour interroger les événements récents 4748 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4748} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='ComputerDeleted';Expression={($_.Message -split '\n' | Where-Object {$_ -match 'Account Name:'} | Select-Object -First 1).Split(':')[1].Trim()}}

Recoupez la suppression avec les événements de connexion pour établir une chronologie complète de l'activité administrative.

1. Notez l'ID de connexion à partir des détails de l'événement 4748
2. Recherchez l'ID d'événement 4624 (connexion réussie) avec l'ID de connexion correspondant
3. Cherchez l'ID d'événement 4634 (déconnexion) pour déterminer la durée de la session
4. Vérifiez d'autres événements administratifs pendant la même session de connexion

Commande PowerShell pour trouver des événements de connexion associés :

$LogonID = "0x3e7"  # Remplacez par l'ID de connexion réel de l'événement 4748
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4634} | Where-Object {$_.Message -match $LogonID} | Select-Object TimeCreated, Id, Message

Cette corrélation aide à déterminer si la suppression faisait partie d'une session administrative légitime ou d'une activité potentiellement non autorisée.

Enquêter sur l'historique du compte d'ordinateur supprimé pour comprendre son cycle de vie et déterminer si la suppression était appropriée.

1. Rechercher l'ID d'événement 4741 (compte d'ordinateur créé) pour le même nom d'ordinateur
2. Chercher les événements ID d'événement 4742 (compte d'ordinateur modifié)
3. Vérifier l'ID d'événement 4743 (compte d'ordinateur supprimé) s'il existe
4. Examiner les événements d'authentification (4768, 4769) pour le compte d'ordinateur

Script PowerShell pour tracer le cycle de vie du compte d'ordinateur :

$ComputerName = "WORKSTATION01$"  # Remplacer par le nom réel de l'ordinateur
$Events = @(4741, 4742, 4748)  # Créé, Modifié, Supprimé

foreach ($EventID in $Events) {
    Write-Host "Recherche de l'ID d'événement $EventID..."
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=$EventID} | Where-Object {$_.Message -match $ComputerName} | Select-Object TimeCreated, Id, @{Name='Details';Expression={($_.Message -split '\n')[0..5] -join ' '}}
}

Configurez une surveillance proactive pour détecter et alerter sur les suppressions de comptes d'ordinateur en temps réel.

1. Configurez Windows Event Forwarding (WEF) pour centraliser les événements 4748
2. Créez des abonnements de journaux d'événements personnalisés sur les serveurs collecteurs
3. Configurez des scripts de surveillance basés sur PowerShell
4. Configurez l'intégration SIEM pour des alertes automatisées

Créez une tâche planifiée pour surveiller les événements 4748 :

# Créer un script de surveillance
$ScriptBlock = {
    $LastHour = (Get-Date).AddHours(-1)
    $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4748; StartTime=$LastHour} -ErrorAction SilentlyContinue
    
    if ($Events) {
        foreach ($Event in $Events) {
            $Message = "Compte d'ordinateur supprimé : " + ($Event.Message -split '\n' | Where-Object {$_ -match 'Account Name:'} | Select-Object -First 1)
            Write-EventLog -LogName Application -Source "Custom Monitor" -EventId 1001 -Message $Message -EntryType Warning
        }
    }
}

# Enregistrer la tâche planifiée
Register-ScheduledTask -TaskName "Monitor-ComputerDeletions" -Trigger (New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)) -Action (New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-Command $ScriptBlock")

Effectuer une analyse médico-légale complète lorsque des suppressions non autorisées de comptes informatiques sont suspectées.

1. Exporter tous les événements de sécurité liés vers des fichiers EVTX pour conservation
2. Analyser les journaux de trafic réseau pour les demandes de suppression LDAP
3. Examiner les dossiers de gestion des changements pour les suppressions autorisées
4. Vérifier les systèmes de sauvegarde pour la restauration de comptes informatiques si nécessaire
5. Documenter les conclusions pour les procédures de réponse aux incidents

Exporter les événements de sécurité pour l'analyse médico-légale :

# Exporter les événements vers un fichier EVTX
$StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
$ExportPath = "C:\Forensics\Security_Events_$(Get-Date -Format 'yyyyMMdd_HHmmss').evtx"

wevtutil epl Security $ExportPath "/q:*[System[TimeCreated[@SystemTime>='$($StartTime.ToString('yyyy-MM-ddTHH:mm:ss.fffZ'))' and @SystemTime<='$($EndTime.ToString('yyyy-MM-ddTHH:mm:ss.fffZ'))']]]" /ow:true

Write-Host "Événements de sécurité exportés vers : $ExportPath"

Créer un rapport d'incident détaillé :

# Générer un rapport d'incident
$Report = @()
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4748; StartTime=(Get-Date).AddDays(-1)}

foreach ($Event in $Events) {
    $Report += [PSCustomObject]@{
        TimeCreated = $Event.TimeCreated
        ComputerDeleted = ($Event.Message -split '\n' | Where-Object {$_ -match 'Target.*Account Name:'} | Select-Object -First 1).Split(':')[1].Trim()
        DeletedBy = ($Event.Message -split '\n' | Where-Object {$_ -match 'Subject.*Account Name:'} | Select-Object -First 1).Split(':')[1].Trim()
        LogonID = ($Event.Message -split '\n' | Where-Object {$_ -match 'Logon ID:'} | Select-Object -First 1).Split(':')[1].Trim()
    }
}

$Report | Export-Csv -Path "C:\Reports\ComputerDeletions_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation