ID d'événement Windows 4932 – Microsoft-Windows-Security-Auditing : Une tentative d'accès à un objet a été effectuée

Commencez par examiner les détails spécifiques de l'ID d'événement 4932 pour comprendre quel objet a été accédé et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4932 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Dans la boîte de dialogue de filtrage, entrez 4932 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4932 pour voir les informations détaillées
6. Examinez les champs clés suivants dans les détails de l'événement:
   • Sujet: Montre le compte utilisateur qui a initié l'accès
   • Objet: Affiche le chemin et le type de l'objet accédé
   • Informations sur le processus: Révèle quel exécutable a tenté l'accès
   • Informations sur la demande d'accès: Détaille les autorisations spécifiques demandées

Utilisez PowerShell pour un filtrage plus efficace :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4932} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Utilisez PowerShell pour analyser les modèles dans les événements d'accès aux objets et identifier les préoccupations de sécurité potentielles.

1. Extraire des informations détaillées des entrées d'ID d'événement 4932 :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4932} -MaxEvents 1000
$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $Subject = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
    $ObjectName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
    $ProcessName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Subject = $Subject
        ObjectAccessed = $ObjectName
        Process = $ProcessName
    }
} | Sort-Object TimeCreated -Descending | Format-Table -AutoSize

2. Identifier les objets les plus fréquemment accédés :

$Events | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'ObjectName'} | Select-Object -ExpandProperty '#text'
} | Group-Object | Sort-Object Count -Descending | Select-Object Name, Count

3. Vérifiez les modèles d'accès inhabituels ou les processus suspects tentant d'accéder aux objets

Gérez quels objets génèrent l'ID d'événement 4932 en configurant les stratégies d'audit d'accès aux objets.

1. Ouvrez Stratégie de sécurité locale en exécutant secpol.msc en tant qu'administrateur
2. Accédez à Paramètres de sécurité → Stratégies locales → Stratégie d'audit
3. Double-cliquez sur Audit de l'accès aux objets
4. Configurez la stratégie en fonction de vos besoins de surveillance:
   • Cochez Succès pour enregistrer les tentatives d'accès réussies aux objets
   • Cochez Échec pour enregistrer les tentatives d'accès échouées
   • Cochez les deux pour une surveillance complète
5. Cliquez sur OK et fermez l'éditeur de stratégie
6. Pour l'audit de fichiers ou dossiers spécifiques, cliquez avec le bouton droit sur l'objet cible dans l'Explorateur
7. Sélectionnez Propriétés → Sécurité → Avancé → Audit
8. Cliquez sur Ajouter pour configurer des utilisateurs ou groupes spécifiques à auditer
9. Définissez les types d'accès souhaités à surveiller (Lecture, Écriture, Suppression, etc.)

Utilisez la stratégie de groupe pour une configuration à l'échelle du domaine :

# Vérifiez les paramètres actuels de la stratégie d'audit
AuditPol.exe /get /category:"Object Access"

Analyse l'ID d'événement 4932 dans le contexte d'autres événements de sécurité pour identifier des incidents de sécurité potentiels.

1. Corréler avec les événements de connexion pour comprendre le contexte utilisateur :

# Trouver les événements de connexion liés pour les utilisateurs apparaissant dans les événements 4932
$ObjectAccessEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4932} -MaxEvents 100
$Users = $ObjectAccessEvents | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
} | Sort-Object -Unique

# Vérifier les événements de connexion de ces utilisateurs
foreach ($User in $Users) {
    Write-Host "Événements de connexion pour l'utilisateur : $User" -ForegroundColor Green
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 50 | Where-Object {
        $_.Message -like "*$User*"
    } | Select-Object TimeCreated, Id, Message | Format-Table -Wrap
}

2. Chercher des motifs indiquant des problèmes de sécurité potentiels :
   • Tentatives d'accès en dehors des heures ouvrables normales
   • Processus inhabituels accédant à des objets sensibles
   • Multiples tentatives d'accès échouées suivies de réussites
   • Comptes de service accédant à des objets inattendus
3. Faire une référence croisée avec l'ID d'événement 4656 (poignée d'objet demandée) et 4658 (poignée d'objet fermée) pour un suivi complet des accès
4. Vérifier les journaux de Windows Defender ou d'autres logiciels de sécurité pour des alertes liées

# Rechercher des tentatives potentielles d'escalade de privilèges
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4932} | Where-Object {
    $_.Message -like "*SeDebugPrivilege*" -or 
    $_.Message -like "*SeTakeOwnershipPrivilege*" -or
    $_.Message -like "*SeRestorePrivilege*"
} | Format-Table TimeCreated, Message -Wrap

Implémentez des techniques d'analyse avancées et optimisez la gestion des journaux pour la surveillance de l'ID d'événement 4932.

1. Exporter les événements pour les outils d'analyse externes :

# Exporter vers CSV pour analyse dans Excel ou d'autres outils
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4932} -MaxEvents 5000 | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    $EventData = @{}
    $EventXML.Event.EventData.Data | ForEach-Object {
        $EventData[$_.Name] = $_.'#text'
    }
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SubjectUserName = $EventData['SubjectUserName']
        SubjectDomainName = $EventData['SubjectDomainName']
        ObjectName = $EventData['ObjectName']
        ObjectType = $EventData['ObjectType']
        ProcessName = $EventData['ProcessName']
        AccessMask = $EventData['AccessMask']
        AccessList = $EventData['AccessList']
    }
} | Export-Csv -Path "C:\Temp\Event4932_Analysis.csv" -NoTypeInformation

2. Configurer le transfert de journaux pour une surveillance centralisée :

# Configurer l'abonnement Windows Event Forwarding (WEF)
wecutil cs subscription.xml

3. Configurer des alertes automatisées pour les motifs suspects :

# Créer une tâche planifiée pour surveiller les motifs inhabituels 4932
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Monitor4932.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At "09:00AM"
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries
Register-ScheduledTask -TaskName "Monitor Event 4932" -Action $Action -Trigger $Trigger -Settings $Settings

4. Optimiser la taille du journal de sécurité pour éviter la perte d'événements :

# Augmenter la taille maximale du journal de sécurité (en octets)
Limit-EventLog -LogName Security -MaximumSize 1GB -OverflowAction OverwriteAsNeeded

5. Implémenter une stratégie d'archivage des journaux pour les exigences de conformité