ID d'événement Windows 5137 – Microsoft-Windows-Security-Auditing : Objet de service d'annuaire créé

Naviguez vers le Visualiseur d'événements pour examiner les événements récents de création d'objets et identifier des motifs ou des anomalies.

1. Ouvrez Visualiseur d'événements sur votre contrôleur de domaine
2. Naviguez vers Journaux Windows → Sécurité
3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
4. Entrez 5137 dans le champ ID d'événements et cliquez sur OK
5. Examinez les événements filtrés, en prêtant attention aux champs DN de l'objet et Nom du compte sujet
6. Double-cliquez sur des événements spécifiques pour voir des informations détaillées, y compris la classe de l'objet et l'horodatage de création
7. Recherchez des motifs de création inhabituels, tels que la création massive d'objets en dehors des heures de bureau normales ou des objets créés dans des UO inattendues

Utilisez PowerShell pour effectuer un filtrage avancé et une analyse de l'ID d'événement 5137 sur plusieurs contrôleurs de domaine.

1. Ouvrez PowerShell en tant qu'administrateur sur un contrôleur de domaine ou une station de gestion
2. Interrogez les événements récents de création d'objet :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5137} -MaxEvents 100 | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='ObjectDN';Expression={$_.Properties[8].Value}}, @{Name='ObjectClass';Expression={$_.Properties[9].Value}}

3. Filtrez pour des types d'objets spécifiques :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5137} | Where-Object {$_.Properties[9].Value -eq 'user'} | Select-Object TimeCreated, @{Name='CreatedUser';Expression={$_.Properties[8].Value}}

4. Recherchez sur plusieurs contrôleurs de domaine :

   $DCs = Get-ADDomainController -Filter *
   foreach ($DC in $DCs) {
       Write-Host "Checking $($DC.Name)..."
       Get-WinEvent -ComputerName $DC.Name -FilterHashtable @{LogName='Security'; Id=5137; StartTime=(Get-Date).AddDays(-7)} -ErrorAction SilentlyContinue
   }

5. Exportez les résultats pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5137; StartTime=(Get-Date).AddDays(-30)} | Export-Csv -Path "C:\Temp\AD_Object_Creation_Report.csv" -NoTypeInformation

Implémentez des politiques d'audit complètes pour garantir que l'ID d'événement 5137 capture toutes les activités nécessaires de création d'objets.

1. Ouvrez la Console de gestion des stratégies de groupe sur un contrôleur de domaine
2. Accédez à la Stratégie par défaut des contrôleurs de domaine de votre domaine ou créez un GPO d'audit dédié
3. Modifiez la stratégie et allez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit
4. Développez Accès DS et configurez Audit des modifications du service d'annuaire sur Succès
5. Pour un contrôle granulaire, utilisez auditpol.exe:

   auditpol /set /subcategory:"Directory Service Changes" /success:enable /failure:enable

6. Vérifiez les paramètres d'audit actuels:

   auditpol /get /subcategory:"Directory Service Changes"

7. Appliquez la stratégie en utilisant:

   gpupdate /force

8. Testez la configuration en créant un objet de test et en vérifiant que l'ID d'événement 5137 apparaît dans le journal de sécurité

Implémentez une surveillance automatisée pour détecter les modèles de création d'objets suspects et générer des alertes en temps réel.

1. Créez un script de surveillance PowerShell:

   # Monitor-ADObjectCreation.ps1
   $LastCheck = (Get-Date).AddMinutes(-5)
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5137; StartTime=$LastCheck}
   
   foreach ($Event in $Events) {
       $ObjectDN = $Event.Properties[8].Value
       $Creator = $Event.Properties[1].Value
       $ObjectClass = $Event.Properties[9].Value
       
       # Alerte sur les modèles suspects
       if ($ObjectClass -eq 'user' -and $Event.TimeCreated.Hour -lt 6) {
           Write-Warning "Création d'utilisateur hors heures ouvrables: $ObjectDN par $Creator"
           # Envoyer un email d'alerte ou enregistrer dans le SIEM
       }
   }

2. Planifiez le script à l'aide du Planificateur de tâches ou exécutez-le en tant que service Windows
3. Configurez le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 5137:

   wecutil cs subscription.xml

4. Configurez des vues de journal d'événements personnalisées dans l'Observateur d'événements pour un accès rapide aux événements de création d'objets
5. Intégrez avec des solutions SIEM en configurant le transfert de journaux ou en utilisant le Collecteur d'événements Windows
6. Créez des requêtes de tableau de bord pour visualiser les tendances de création d'objets et identifier les anomalies

Effectuer une analyse médico-légale détaillée de l'ID d'événement 5137 pour l'enquête sur les incidents de sécurité et le rapport de conformité.

1. Collecter des données d'événements complètes sur tous les contrôleurs de domaine :

   $StartDate = (Get-Date).AddDays(-90)
   $DCs = (Get-ADDomainController -Filter *).Name
   $AllEvents = @()
   
   foreach ($DC in $DCs) {
       try {
           $Events = Get-WinEvent -ComputerName $DC -FilterHashtable @{LogName='Security'; Id=5137; StartTime=$StartDate} -ErrorAction Stop
           $AllEvents += $Events
       } catch {
           Write-Warning "Could not retrieve events from $DC: $($_.Exception.Message)"
       }
   }

2. Analyser les modèles de création d'objets :

   $Analysis = $AllEvents | ForEach-Object {
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           Creator = $_.Properties[1].Value
           ObjectDN = $_.Properties[8].Value
           ObjectClass = $_.Properties[9].Value
           DC = $_.MachineName
       }
   } | Sort-Object TimeCreated

3. Générer des rapports de conformité :

   $Analysis | Group-Object Creator | Select-Object Name, Count | Sort-Object Count -Descending | Export-Csv "ObjectCreationByUser.csv"

4. Corréler avec d'autres événements de sécurité (4624, 4648) pour construire des chronologies d'activité complètes
5. Utiliser Event Log Explorer ou des outils similaires pour un filtrage avancé et une corrélation entre plusieurs sources de journaux
6. Documenter les résultats dans des rapports de réponse aux incidents, y compris les chronologies de création d'objets et les parties responsables