ID d'événement Windows 5156 – Microsoft-Windows-Security-Auditing : Connexion réseau autorisée par la plateforme de filtrage Windows

Commencez par examiner les détails spécifiques de la connexion dans le Visualiseur d'événements pour comprendre ce qui a déclenché la connexion autorisée.

1. Ouvrez Visualiseur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez le journal pour l'ID d'événement 5156 en cliquant avec le bouton droit sur Sécurité → Filtrer le journal actuel
4. Entrez 5156 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur une entrée récente de l'ID d'événement 5156 pour voir des informations détaillées
6. Examinez les champs clés dans les détails de l'événement:
   • Informations sur le processus: Montre le chemin de l'exécutable et l'ID du processus
   • Informations sur le réseau: Contient les IPs et ports source/destination
   • Informations sur le filtre: Affiche la règle de pare-feu qui a autorisé la connexion

Utilisez PowerShell pour interroger et analyser efficacement les entrées d'Event ID 5156 pour détecter des motifs et des anomalies.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes d'Event ID 5156 :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message

3. Filtrez les événements par processus ou application spécifique :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156} | Where-Object {$_.Message -like '*chrome.exe*'} | Select-Object TimeCreated, Message

4. Analysez les motifs de connexion par port de destination :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156} -MaxEvents 1000 | ForEach-Object {if($_.Message -match 'Destination Port:\s+(\d+)'){$matches[1]}} | Group-Object | Sort-Object Count -Descending

5. Exportez les événements vers un fichier CSV pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156} -MaxEvents 500 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\temp\Event5156_Analysis.csv" -NoTypeInformation

Gérez la génération de l'ID d'événement 5156 en configurant les stratégies d'audit Windows pour le filtrage des connexions de la plateforme.

1. Ouvrez Éditeur de stratégie de groupe locale en appuyant sur Win + R, en tapant gpedit.msc, et en appuyant sur Entrée
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Stratégies d'audit → Accès aux objets
3. Double-cliquez sur Audit de la connexion de la plateforme de filtrage
4. Configurez la stratégie en fonction de vos besoins de surveillance:
   • Cochez Succès pour enregistrer les connexions autorisées (ID d'événement 5156)
   • Cochez Échec pour enregistrer les connexions bloquées (ID d'événement 5157)
   • Décochez les deux pour désactiver l'audit des connexions
5. Cliquez sur OK et exécutez gpupdate /force pour appliquer les modifications immédiatement
6. Alternativement, utilisez la ligne de commande auditpol:

   # Activer l'audit de succès pour les connexions de la plateforme de filtrage
   auditpol /set /subcategory:"Filtering Platform Connection" /success:enable
   
   # Désactiver tout audit de connexion de la plateforme de filtrage
   auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Effectuer une analyse avancée des données d'Event ID 5156 pour identifier les schémas de sécurité et les menaces potentielles.

1. Créer un script PowerShell pour analyser les schémas de connexion :

   # Analyser l'Event ID 5156 pour les schémas de sécurité
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156} -MaxEvents 2000
   
   # Extraire les détails de connexion
   $Connections = foreach ($Event in $Events) {
       if ($Event.Message -match 'Process Name:\s+(.+?)\r\n.*Source Address:\s+([\d\.]+).*Destination Address:\s+([\d\.]+).*Destination Port:\s+(\d+)') {
           [PSCustomObject]@{
               TimeCreated = $Event.TimeCreated
               ProcessName = $matches[1]
               SourceIP = $matches[2]
               DestinationIP = $matches[3]
               DestinationPort = $matches[4]
           }
       }
   }
   
   # Identifier les principaux processus par nombre de connexions
   $Connections | Group-Object ProcessName | Sort-Object Count -Descending | Select-Object Name, Count

2. Identifier les connexions sortantes inhabituelles :

   # Trouver les connexions vers des IP externes (hors des plages privées RFC 1918)
   $ExternalConnections = $Connections | Where-Object {
       $_.DestinationIP -notmatch '^(10\.|172\.(1[6-9]|2[0-9]|3[01])\.|192\.168\.|127\.)'
   }
   
   $ExternalConnections | Group-Object DestinationIP | Sort-Object Count -Descending

3. Surveiller le comportement suspect des processus :

   # Rechercher les processus se connectant à plusieurs destinations externes
   $SuspiciousProcesses = $ExternalConnections | Group-Object ProcessName | Where-Object {$_.Count -gt 10}
   $SuspiciousProcesses | ForEach-Object {Write-Host "$($_.Name): $($_.Count) external connections" -ForegroundColor Yellow}

4. Mettre en place une surveillance automatisée avec des tâches planifiées ou des solutions de surveillance

Configurez la surveillance et l'analyse au niveau de l'entreprise de l'ID d'événement 5156 pour une visibilité complète de la sécurité du réseau.

1. Configurez le transfert d'événements Windows pour centraliser la collecte de l'ID d'événement 5156:

   # Créer un abonnement d'événements personnalisé XML
   $SubscriptionXML = @"
   <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
       <SubscriptionId>NetworkConnections</SubscriptionId>
       <SubscriptionType>SourceInitiated</SubscriptionType>
       <Description>Transférer les connexions réseau ID d'événement 5156</Description>
       <Enabled>true</Enabled>
       <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
       <Query><![CDATA[
           <QueryList>
               <Query Id="0">
                   <Select Path="Security">*[System[EventID=5156]]</Select>
               </Query>
           </QueryList>
       ]]></Query>
   </Subscription>
   "@
   
   # Enregistrer et créer l'abonnement
   $SubscriptionXML | Out-File -FilePath "C:\temp\NetworkConnections.xml"
   wecutil cs "C:\temp\NetworkConnections.xml"

2. Configurez les règles d'analyse des journaux dans votre solution SIEM pour extraire les champs clés de l'ID d'événement 5156
3. Créez des règles de corrélation pour détecter:
   • Modèles de connexion inhabituels
   • Connexions à partir de processus non autorisés
   • Transferts de données à haut volume
   • Connexions à des adresses IP malveillantes connues
4. Mettez en place des alertes automatisées pour les modèles d'activité réseau suspects
5. Implémentez des politiques de rétention des journaux pour équilibrer les coûts de stockage avec les exigences de conformité
6. Utilisez PowerShell pour créer des tableaux de bord personnalisés:

   # Générer un résumé quotidien des connexions réseau
   $Today = Get-Date -Format "yyyy-MM-dd"
   $TodayEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5156; StartTime=(Get-Date).Date}
   
   Write-Host "Résumé des connexions réseau pour $Today" -ForegroundColor Green
   Write-Host "Total des connexions: $($TodayEvents.Count)"
   Write-Host "Processus uniques: $(($TodayEvents | ForEach-Object {if($_.Message -match 'Process Name:\s+(.+?)\r\n'){$matches[1]}} | Sort-Object -Unique).Count)"
   Write-Host "Heure de pointe: $(($TodayEvents | Group-Object {$_.TimeCreated.Hour} | Sort-Object Count -Descending | Select-Object -First 1).Name):00"