ID d'événement Windows 5376 – Microsoft-Windows-Security-Auditing : Les informations d'identification du gestionnaire d'informations d'identification ont été sauvegardées

Commencez par examiner les détails spécifiques de l'événement de sauvegarde des informations d'identification pour comprendre ce qui a été sauvegardé et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 5376 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 5376 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur l'événement pour voir les détails, y compris :
   • Nom et domaine du compte sujet
   • Chemin et emplacement du fichier de sauvegarde
   • Nombre d'informations d'identification sauvegardées
   • Nom du processus qui a initié la sauvegarde

Utilisez PowerShell pour une analyse plus détaillée :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5376} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Enquêter sur le contexte autour de la sauvegarde des identifiants en examinant les événements et l'activité des processus associés.

1. Vérifiez les événements de connexion associés autour de la même heure :

$BackupTime = (Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5376} -MaxEvents 1).TimeCreated
$StartTime = $BackupTime.AddMinutes(-30)
$EndTime = $BackupTime.AddMinutes(30)

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4648; StartTime=$StartTime; EndTime=$EndTime} | Format-Table TimeCreated, Id, Message

2. Examinez les événements de création de processus pour identifier l'application qui a initié la sauvegarde :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=$StartTime; EndTime=$EndTime} | Where-Object {$_.Message -like "*credential*" -or $_.Message -like "*backup*"}

3. Vérifiez si le fichier de sauvegarde existe toujours à l'emplacement spécifié
4. Vérifiez que le compte utilisateur avait des raisons légitimes de réaliser la sauvegarde des identifiants
5. Examinez les tâches planifiées ou les scripts qui pourraient avoir déclenché la sauvegarde

Examinez l'état actuel du Gestionnaire d'informations d'identification et enquêtez sur les fichiers de sauvegarde créés lors de l'événement.

1. Listez les informations d'identification actuelles dans le Gestionnaire d'informations d'identification à l'aide de PowerShell :

# Nécessite des privilèges élevés
Get-StoredCredential | Format-Table UserName, Target, Type, LastWriteTime

2. Vérifiez l'emplacement du fichier de sauvegarde mentionné dans l'événement (si accessible) :

$BackupPath = "C:\Path\From\Event\Details"
if (Test-Path $BackupPath) {
    Get-ChildItem $BackupPath -Recurse | Format-Table Name, Length, CreationTime, LastWriteTime
} else {
    Write-Host "Fichier de sauvegarde non trouvé à l'emplacement spécifié" -ForegroundColor Yellow
}

3. Examinez le Gestionnaire d'informations d'identification via le Panneau de configuration :
   • Ouvrez Panneau de configuration → Comptes d'utilisateurs → Gestionnaire d'informations d'identification
   • Vérifiez les sections Informations d'identification Web et Informations d'identification Windows
   • Notez toute entrée récemment modifiée ou suspecte
4. Examinez les entrées de registre pour l'activité du gestionnaire d'informations d'identification :

Get-ItemProperty -Path "HKCU\Software\Microsoft\Protected Storage System Provider" -ErrorAction SilentlyContinue

Configurez une surveillance proactive pour détecter les futurs événements de sauvegarde des identifiants et établir des modèles de comportement de référence.

1. Créez un script PowerShell pour une surveillance continue :

# Enregistrez sous Monitor-CredentialBackup.ps1
$LogName = 'Security'
$EventID = 5376
$LastCheck = (Get-Date).AddHours(-1)

while ($true) {
    $Events = Get-WinEvent -FilterHashtable @{LogName=$LogName; Id=$EventID; StartTime=$LastCheck} -ErrorAction SilentlyContinue
    
    if ($Events) {
        foreach ($Event in $Events) {
            $Message = "ALERTE : Sauvegarde d'identifiants détectée à $($Event.TimeCreated) par $($Event.Properties[1].Value)"
            Write-Host $Message -ForegroundColor Red
            # Ajoutez ici la notification par email ou l'intégration SIEM
        }
    }
    
    $LastCheck = Get-Date
    Start-Sleep -Seconds 300  # Vérifiez toutes les 5 minutes
}

2. Configurez le transfert d'événements Windows pour une journalisation centralisée :

# Sur le serveur collecteur
wecutil qc /q

# Créez un abonnement pour l'ID d'événement 5376
$SubscriptionXML = @"

    CredentialBackupMonitoring
    *[System[(EventID=5376)]]]]>

"@

$SubscriptionXML | Out-File -FilePath "C:\temp\credential-backup-subscription.xml"
wecutil cs "C:\temp\credential-backup-subscription.xml"

3. Configurez le Planificateur de tâches pour une réponse automatisée :
4. Créez des vues personnalisées dans le Visualiseur d'événements filtrées pour l'ID d'événement 5376
5. Documentez les modèles de référence des opérations légitimes de sauvegarde des identifiants

Effectuer une analyse médico-légale approfondie pour déterminer si la sauvegarde des identifiants représente un incident de sécurité nécessitant des procédures de réponse aux incidents.

1. Collecter des données d'événements complètes pour l'analyse :

# Exporter tous les événements de sécurité liés pour l'analyse médico-légale
$ExportPath = "C:\Forensics\CredentialBackup-$(Get-Date -Format 'yyyyMMdd-HHmmss').evtx"
$StartDate = (Get-Date).AddDays(-7)

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5376,4624,4625,4648,4688; StartTime=$StartDate} | Export-Clixml -Path "$ExportPath.xml"

# Créer une chronologie des événements
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5376; StartTime=$StartDate} | 
    Select-Object TimeCreated, Id, LevelDisplayName, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='BackupPath';Expression={$_.Properties[5].Value}} | 
    Sort-Object TimeCreated | Format-Table -AutoSize

2. Analyser les connexions réseau pendant la période de sauvegarde :

# Vérifier l'activité réseau suspecte
Get-NetTCPConnection | Where-Object {$_.State -eq 'Established'} | 
    Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort, OwningProcess | 
    ForEach-Object {
        $Process = Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue
        $_ | Add-Member -NotePropertyName ProcessName -NotePropertyValue $Process.ProcessName
        $_
    } | Format-Table

3. Vérifier les indicateurs de compromission :
4. Examiner l'activité du système de fichiers autour des emplacements de sauvegarde en utilisant Get-ChildItem avec le paramètre -Force
5. Examiner les vidages de mémoire si disponibles pour les outils de collecte d'identifiants
6. Corréler avec les flux de renseignements sur les menaces pour les techniques connues de vol d'identifiants
7. Documenter les résultats et créer une chronologie de réponse aux incidents si une activité malveillante est confirmée