ID d'événement Windows 4760 – Microsoft-Windows-Security-Auditing : Compte utilisateur supprimé

Commencez par examiner l'entrée spécifique de l'ID d'événement 4760 pour comprendre le contexte de la suppression et identifier la partie responsable.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 4760 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur l'entrée de l'ID d'événement 4760 pour voir des informations détaillées
6. Examinez la section Sujet pour identifier qui a effectué la suppression :
   • ID de sécurité : SID du compte qui a supprimé l'utilisateur
   • Nom du compte : Nom d'utilisateur du compte supprimant
   • Domaine du compte : Domaine du compte supprimant
   • ID de connexion : Identifiant de session pour la corrélation
7. Examinez la section Compte cible :
   • ID de sécurité : SID du compte utilisateur supprimé
   • Nom du compte : Nom d'utilisateur qui a été supprimé
   • Domaine du compte : Domaine où le compte existait
8. Notez l'horodatage et corrélez-le avec tout ticket de gestion des changements ou fenêtre de maintenance programmée

Utilisez PowerShell pour rechercher l'ID d'événement 4760 sur plusieurs systèmes et plages de temps pour une analyse complète.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents de suppression de compte sur le système local :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4760} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Recherchez des suppressions de comptes d'utilisateur spécifiques en filtrant le contenu du message :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4760} | Where-Object {$_.Message -like "*username*"} | Select-Object TimeCreated, Message

4. Interrogez plusieurs contrôleurs de domaine pour une couverture complète :

   $DCs = Get-ADDomainController -Filter *
   foreach ($DC in $DCs) {
       Write-Host "Checking $($DC.Name)..."
       Invoke-Command -ComputerName $DC.Name -ScriptBlock {
           Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4760; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue
       }
   }

5. Exportez les résultats en CSV pour analyse :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4760; StartTime=(Get-Date).AddDays(-30)} | Select-Object TimeCreated, Id, LevelDisplayName, @{Name='DeletedUser';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[1] -replace '\s*Account Name:\s*',''}}, @{Name='DeletedBy';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject:*' -A 3})[1] -replace '\s*Account Name:\s*',''}} | Export-Csv -Path "C:\Temp\DeletedAccounts.csv" -NoTypeInformation

Recoupez l'ID d'événement 4760 avec les journaux de réplication Active Directory et le suivi des modifications pour obtenir une image complète des activités de suppression de compte.

1. Vérifiez les journaux de réplication Active Directory sur les contrôleurs de domaine :

   Get-WinEvent -FilterHashtable @{LogName='Directory Service'; Id=1566,1567} -MaxEvents 100 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)}

2. Interrogez la Corbeille Active Directory pour les objets récemment supprimés :

   Get-ADObject -Filter {Deleted -eq $true -and ObjectClass -eq "user"} -IncludeDeletedObjects -Properties whenChanged,whenCreated,DisplayName,DistinguishedName | Where-Object {$_.whenChanged -gt (Get-Date).AddDays(-7)} | Sort-Object whenChanged -Descending

3. Examinez les journaux des services d'annuaire pour un contexte supplémentaire :
   1. Ouvrez Observateur d'événements et accédez à Journaux des applications et services → Service d'annuaire
   2. Cherchez les ID d'événement 1566 (objet supprimé) et 1567 (objet déplacé vers le conteneur d'objets supprimés)
   3. Corrélez les horodatages avec les entrées de l'ID d'événement 4760
4. Vérifiez les journaux de stratégie de groupe pour les politiques de suppression automatisées :

   Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-GroupPolicy/Operational'; StartTime=(Get-Date).AddDays(-1)} | Where-Object {$_.Message -like "*user*" -and $_.Message -like "*delet*"}

5. Examinez le journal de sécurité pour les événements connexes :
   • ID d'événement 4726 : Le compte utilisateur a été supprimé (événement hérité)
   • ID d'événement 4738 : Le compte utilisateur a été modifié
   • ID d'événement 4781 : Le nom du compte a été modifié

Analyser les modèles d'Event ID 4760 pour identifier les incidents de sécurité potentiels, les suppressions non autorisées ou les comptes administrateur compromis.

1. Créer un script PowerShell pour analyser les modèles de suppression :

   # Analyser les modèles de suppression de compte
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4760; StartTime=(Get-Date).AddDays(-30)}
   $Analysis = $Events | ForEach-Object {
       $Message = $_.Message
       $SubjectAccount = ($Message -split '\n' | Where-Object {$_ -match 'Subject:' -A 4})[1] -replace '\s*Account Name:\s*',''
       $TargetAccount = ($Message -split '\n' | Where-Object {$_ -match 'Target Account:' -A 4})[1] -replace '\s*Account Name:\s*',''
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           DeletedBy = $SubjectAccount
           DeletedUser = $TargetAccount
           ComputerName = $_.MachineName
       }
   }
   $Analysis | Group-Object DeletedBy | Sort-Object Count -Descending

2. Vérifier les suppressions en dehors des heures de travail qui pourraient indiquer un accès non autorisé :

   $SuspiciousHours = $Analysis | Where-Object {$_.TimeCreated.Hour -lt 6 -or $_.TimeCreated.Hour -gt 22}
   $SuspiciousHours | Format-Table TimeCreated, DeletedBy, DeletedUser, ComputerName

3. Identifier les opérations de suppression en masse :

   $BulkDeletions = $Analysis | Group-Object DeletedBy, @{Expression={$_.TimeCreated.ToString("yyyy-MM-dd HH:mm")}} | Where-Object {$_.Count -gt 5}
   $BulkDeletions | ForEach-Object {Write-Host "$($_.Name) deleted $($_.Count) accounts" -ForegroundColor Yellow}

4. Faire une référence croisée avec les tentatives de connexion échouées (Event ID 4625) :

   $FailedLogons = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625; StartTime=(Get-Date).AddDays(-1)}
   $SuspiciousAccounts = $Analysis.DeletedBy | Where-Object {$_ -in ($FailedLogons | ForEach-Object {($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[0] -replace '\s*Account Name:\s*',''})}

5. Générer un rapport de sécurité :

   $Report = @"
   Rapport de sécurité sur la suppression de comptes - $(Get-Date)
   ================================================
   Total des suppressions : $($Analysis.Count)
   Administrateurs uniques : $($Analysis.DeletedBy | Sort-Object -Unique | Measure-Object).Count
   Suppressions en dehors des heures de travail : $($SuspiciousHours.Count)
   Événements de suppression en masse : $($BulkDeletions.Count)
   
   Principaux supprimeurs de comptes :
   $($Analysis | Group-Object DeletedBy | Sort-Object Count -Descending | Select-Object -First 5 | Format-Table Name, Count | Out-String)
   "@
   $Report | Out-File -FilePath "C:\Temp\AccountDeletionReport.txt"

Configurez la surveillance proactive pour l'ID d'événement 4760 afin de détecter les suppressions de comptes non autorisées en temps réel et d'établir des pistes d'audit appropriées.

1. Configurez le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 4760:
   1. Sur le serveur collecteur, exécutez :

      wecutil qc

   2. Créez un fichier XML d'abonnement personnalisé:

      <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
          <SubscriptionId>AccountDeletions</SubscriptionId>
          <SubscriptionType>SourceInitiated</SubscriptionType>
          <Description>Account Deletion Events</Description>
          <Enabled>true</Enabled>
          <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
          <ConfigurationMode>Normal</ConfigurationMode>
          <Query><![CDATA[
              <QueryList>
                  <Query Id="0">
                      <Select Path="Security">*[System[EventID=4760]]</Select>
                  </Query>
              </QueryList>
          ]]></Query>
      </Subscription>

   3. Importez l'abonnement :

      wecutil cs AccountDeletions.xml

2. Créez une tâche planifiée PowerShell pour les alertes en temps réel:

   $Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\MonitorAccountDeletions.ps1"
   $Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365)
   $Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
   $Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
   Register-ScheduledTask -TaskName "MonitorAccountDeletions" -Action $Action -Trigger $Trigger -Principal $Principal -Settings $Settings

3. Configurez la politique d'audit pour une journalisation complète:

   auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable
   auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable

4. Configurez la taille et les politiques de rétention du journal des événements:

   wevtutil sl Security /ms:1073741824  # Définir le journal de sécurité à 1 Go
   wevtutil sl Security /rt:false        # Désactiver le remplacement du journal

5. Créez un script de surveillance (C:\Scripts\MonitorAccountDeletions.ps1):

   # Surveiller les nouvelles entrées d'ID d'événement 4760
   $LastCheck = Get-Content "C:\Scripts\LastCheck.txt" -ErrorAction SilentlyContinue
   if (-not $LastCheck) { $LastCheck = (Get-Date).AddMinutes(-5) }
   else { $LastCheck = [DateTime]$LastCheck }
   
   $NewEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4760; StartTime=$LastCheck} -ErrorAction SilentlyContinue
   
   if ($NewEvents) {
       $AlertMessage = "ALERTE : $($NewEvents.Count) compte(s) utilisateur supprimé(s) depuis $LastCheck"
       Write-EventLog -LogName Application -Source "AccountMonitor" -EventId 1001 -EntryType Warning -Message $AlertMessage
       # Ajouter une notification par email ou une intégration SIEM ici
   }
   
   Get-Date | Out-File "C:\Scripts\LastCheck.txt"