ID d'événement Windows 4865 – Microsoft-Windows-Security-Auditing : Un processus de connexion de confiance a été attribué à un package d'authentification

Commencez par examiner les détails spécifiques de l'événement pour comprendre quel processus de connexion et quel package d'authentification sont impliqués.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4865 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4865 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur une entrée récente de l'ID d'événement 4865 pour voir les détails
6. Examinez l'onglet Général pour le nom du processus de connexion et les informations sur le package d'authentification
7. Vérifiez l'onglet Détails pour des données XML supplémentaires incluant les identifiants de sécurité

Utilisez PowerShell pour récupérer et analyser les occurrences de l'ID d'événement 4865 avec des capacités de filtrage.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes de l'ID d'événement 4865 :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4865} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Extrait des propriétés spécifiques de l'événement :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4865} -MaxEvents 10 | ForEach-Object {
       [xml]$xml = $_.ToXml()
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           LogonProcessName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'LogonProcessName'} | Select-Object -ExpandProperty '#text'
           AuthenticationPackage = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'AuthenticationPackageName'} | Select-Object -ExpandProperty '#text'
           SubjectUserSid = $xml.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserSid'} | Select-Object -ExpandProperty '#text'
       }
   }

4. Filtrer les événements par plage de dates :

   $StartTime = (Get-Date).AddDays(-7)
   $EndTime = Get-Date
   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4865; StartTime=$StartTime; EndTime=$EndTime}

Examinez le registre pour comprendre quels paquets d'authentification sont configurés et leurs relations de confiance.

1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
2. Accédez à la clé de registre des paquets d'authentification :
   HKLM\SYSTEM\CurrentControlSet\Control\Lsa
3. Examinez la valeur Authentication Packages pour voir les paquets configurés
4. Vérifiez la valeur Security Packages pour des fournisseurs de sécurité supplémentaires
5. Examinez les paquets de notification :
   HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
6. Utilisez PowerShell pour interroger les valeurs du registre de manière programmatique :

   Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "Authentication Packages"
   Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "Security Packages"

7. Comparez les paramètres actuels avec les configurations de référence pour identifier les modifications non autorisées

Utilisez Process Monitor pour suivre le chargement des packages d'authentification en temps réel et identifier les processus responsables de l'ID d'événement 4865.

1. Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
2. Configurez les filtres pour surveiller l'activité de LSASS.exe:
   • Définissez le filtre Nom du processus sur lsass.exe
   • Définissez le filtre Opération sur Activité des processus et des threads
3. Effacez les événements existants et commencez la surveillance
4. Déclenchez le chargement des packages d'authentification en:
   • Redémarrant le système
   • Installant un logiciel d'authentification
   • Modifiant les politiques de sécurité
5. Corrélez les événements de Process Monitor avec les horodatages de l'ID d'événement 4865
6. Examinez la pile d'appels et les modules chargés dans LSASS.exe
7. Utilisez PowerShell pour faire une référence croisée avec les événements de sécurité:

   $ProcMonTime = Get-Date "2026-03-18 10:30:00"
   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4865; StartTime=$ProcMonTime.AddMinutes(-5); EndTime=$ProcMonTime.AddMinutes(5)}

Implémentez une surveillance complète pour corréler l'ID d'événement 4865 avec d'autres événements de sécurité pour la détection des menaces et le rapport de conformité.

1. Activez les politiques d'audit de sécurité avancées:

   auditpol /set /subcategory:"Other Logon/Logoff Events" /success:enable /failure:enable
   auditpol /set /subcategory:"Security System Extension" /success:enable /failure:enable

2. Créez un script PowerShell pour l'analyse de corrélation:

   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=@(4865,4624,4648,4768)} -MaxEvents 1000
   $GroupedEvents = $Events | Group-Object {$_.TimeCreated.ToString("yyyy-MM-dd HH:mm")} | Where-Object {$_.Count -gt 1}
   $GroupedEvents | ForEach-Object {
       Write-Host "Time: $($_.Name)"
       $_.Group | Format-Table Id, LevelDisplayName, Message -Wrap
   }

3. Configurez le transfert d'événements Windows (WEF) pour une surveillance centralisée:
   • Configurez les ordinateurs sources avec winrm quickconfig
   • Créez un abonnement d'événements personnalisé XML
   • Déployez l'abonnement sur le serveur collecteur
4. Implémentez l'intégration SIEM en utilisant l'API du journal des événements Windows:

   $Query = "*[System[EventID=4865]]"
   $Events = Get-WinEvent -FilterXPath $Query -MaxEvents 100
   $Events | ConvertTo-Json -Depth 3 | Out-File "C:\Logs\Event4865_Export.json"

5. Créez des alertes automatisées pour les affectations de packages d'authentification suspectes
6. Établissez des modèles de comportement de base et implémentez la détection d'anomalies