Commencez par examiner les détails spécifiques de l'ID d'événement 5139 pour comprendre quelle valeur de registre a été supprimée et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 5139 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 5139 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 5139 pour voir des informations détaillées, y compris :
   • Sujet (compte utilisateur qui a effectué la suppression)
   • Nom de l'objet (chemin complet du registre de la valeur supprimée)
   • Informations sur le processus (exécutable et ID de processus)
   • Informations sur la demande d'accès (droits d'accès demandés)
6. Notez l'ID de connexion pour corréler avec les événements de connexion (4624/4625) pour un contexte supplémentaire

Utilisez PowerShell pour un filtrage plus efficace :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5139} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Recoupez l'ID d'événement 5139 avec les événements de sécurité connexes pour obtenir une image complète de l'activité de suppression.

1. Extrait l'ID de processus et l'ID de connexion des détails de l'événement 5139
2. Recherchez les événements de création de processus (4688) avec un ID de processus correspondant :

$ProcessId = "0x1234"  # Remplacez par l'ID de processus réel de l'événement 5139
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} | Where-Object {$_.Message -like "*$ProcessId*"} | Select-Object TimeCreated, Message

3. Identifiez la session de connexion en utilisant l'ID de connexion :

$LogonId = "0x5678"  # Remplacez par l'ID de connexion réel de l'événement 5139
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625} | Where-Object {$_.Message -like "*$LogonId*"} | Select-Object TimeCreated, Id, Message

4. Vérifiez les événements de registre connexes autour de la même période :

$StartTime = (Get-Date).AddHours(-1)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5136,5137,5138,5139,5140,5141; StartTime=$StartTime; EndTime=$EndTime} | Sort-Object TimeCreated

5. Documentez la chronologie et le contexte pour une enquête ou un rapport ultérieur

Configurez un audit complet du registre pour capturer des informations plus détaillées sur les modifications du registre.

1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Accès aux objets
3. Configurez la stratégie Audit du registre :
   • Activez l'audit de Succès et Échec
   • Appliquez la stratégie en utilisant gpupdate /force
4. Pour la surveillance de clés de registre spécifiques, configurez les entrées SACL (System Access Control List) :

# Exemple : Surveiller HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
$RegistryPath = "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
$Acl = Get-Acl $RegistryPath
$AccessRule = New-Object System.Security.AccessControl.RegistryAuditRule("Everyone", "Delete,SetValue,CreateSubKey", "None", "None", "Success,Failure")
$Acl.SetAuditRule($AccessRule)
Set-Acl $RegistryPath $Acl

5. Vérifiez que l'audit est actif en vérifiant la stratégie d'audit :

auditpol /get /subcategory:"Registry"

6. Testez la configuration en supprimant une valeur de registre de test et en confirmant la génération de l'ID d'événement 5139

Configurez la détection et la réponse automatisées pour les suppressions suspectes de valeurs de registre en utilisant PowerShell et le Planificateur de tâches Windows.

1. Créez un script de surveillance PowerShell :

# Enregistrez sous Monitor-RegistryDeletions.ps1
param(
    [string]$LogName = "Security",
    [int]$EventId = 5139,
    [int]$MaxEvents = 100
)

$Events = Get-WinEvent -FilterHashtable @{LogName=$LogName; Id=$EventId; StartTime=(Get-Date).AddMinutes(-5)} -ErrorAction SilentlyContinue

foreach ($Event in $Events) {
    $EventXML = [xml]$Event.ToXml()
    $SubjectUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq "SubjectUserName"} | Select-Object -ExpandProperty "#text"
    $ObjectName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq "ObjectName"} | Select-Object -ExpandProperty "#text"
    $ProcessName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq "ProcessName"} | Select-Object -ExpandProperty "#text"
    
    # Définir des modèles suspects
    $SuspiciousKeys = @(
        "*\\Run*",
        "*\\RunOnce*",
        "*\\Winlogon*",
        "*\\Services*",
        "*\\Policies*"
    )
    
    foreach ($Pattern in $SuspiciousKeys) {
        if ($ObjectName -like $Pattern) {
            $AlertMessage = "ALERTE : Suppression suspecte de registre détectée`nUtilisateur : $SubjectUserName`nRegistre : $ObjectName`nProcessus : $ProcessName`nHeure : $($Event.TimeCreated)"
            Write-EventLog -LogName "Application" -Source "Registry Monitor" -EventId 1001 -EntryType Warning -Message $AlertMessage
            # Envoyer un email ou déclencher des actions de réponse supplémentaires ici
        }
    }
}

2. Enregistrez le script en tant que tâche planifiée :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\Monitor-RegistryDeletions.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable
Register-ScheduledTask -TaskName "Registry Deletion Monitor" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

3. Créez une source d'événements personnalisée pour les alertes :

New-EventLog -LogName "Application" -Source "Registry Monitor"

4. Configurez le transfert d'événements Windows (WEF) pour une surveillance centralisée dans les environnements d'entreprise
5. Intégrez avec des solutions SIEM en utilisant Windows Event Collector ou des agents tiers

Effectuez une analyse médico-légale complète lorsque l'ID d'événement 5139 indique des incidents de sécurité potentiels ou des modifications non autorisées.

1. Collectez des données d'événements complètes pour l'analyse :

# Exporter les événements de sécurité pour l'analyse médico-légale
$StartDate = (Get-Date).AddDays(-7)
$EndDate = Get-Date
$ExportPath = "C:\Forensics\SecurityEvents_$(Get-Date -Format 'yyyyMMdd_HHmmss').evtx"

wevtutil epl Security $ExportPath /q:"*[System[TimeCreated[@SystemTime>='$($StartDate.ToString('yyyy-MM-ddTHH:mm:ss.fffZ'))' and @SystemTime<='$($EndDate.ToString('yyyy-MM-ddTHH:mm:ss.fffZ'))']]]"

2. Analysez les modèles de suppression de registre et corrélez-les avec les changements système :

# Analyser les modèles d'ID d'événement 5139
$RegistryDeletions = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5139; StartTime=$StartDate; EndTime=$EndDate}

$Analysis = $RegistryDeletions | ForEach-Object {
    $EventXML = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq "SubjectUserName"})."#text"
        RegistryPath = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq "ObjectName"})."#text"
        Process = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq "ProcessName"})."#text"
        ProcessId = ($EventXML.Event.EventData.Data | Where-Object {$_.Name -eq "ProcessId"})."#text"
    }
}

$Analysis | Group-Object User, Process | Sort-Object Count -Descending | Format-Table Name, Count

3. Vérifiez les options de sauvegarde et de récupération du registre :

# Vérifier les points de restauration système
Get-ComputerRestorePoint | Sort-Object CreationTime -Descending | Select-Object -First 10

# Examiner les journaux de transactions du registre
Get-ChildItem "C:\Windows\System32\config\" -Filter "*.LOG*" | Sort-Object LastWriteTime -Descending

4. Documentez les résultats et créez une chronologie de l'incident :

# Générer un rapport d'incident
$ReportPath = "C:\Forensics\RegistryDeletionReport_$(Get-Date -Format 'yyyyMMdd_HHmmss').html"
$Analysis | ConvertTo-Html -Title "Registry Deletion Analysis" -PreContent "
Analyse de l'incident de suppression de registre
Généré : $(Get-Date)
" | Out-File $ReportPath

5. Mettez en œuvre des mesures de confinement si une activité malveillante est suspectée :
   • Isoler les systèmes affectés du réseau
   • Préserver les preuves à l'aide d'outils d'imagerie disque
   • Réinitialiser les identifiants utilisateur compromis
   • Appliquer une surveillance et des contrôles d'accès supplémentaires