ID d'événement Windows 5377 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

Commencez par examiner les détails de l'événement pour comprendre quels privilèges ont été attribués et à qui.

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 5377 en utilisant l'option de filtre
3. Double-cliquez sur l'événement pour voir les informations détaillées
4. Notez les champs clés suivants :
   • ID de sécurité du sujet : L'utilisateur recevant les privilèges
   • Privilèges : Liste des droits spéciaux accordés
   • ID de connexion : Identifiant de session pour la corrélation
5. Faites une référence croisée de l'ID de connexion avec l'ID d'événement 4624 (connexion réussie) pour un contexte complet

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 5377 dans votre environnement.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes de l'ID d'événement 5377 :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5377} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message

3. Filtrez par utilisateur spécifique ou plage de temps :

   $StartTime = (Get-Date).AddDays(-7)
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5377; StartTime=$StartTime}
   $Events | Where-Object {$_.Message -like '*S-1-5-21*'} | Format-Table TimeCreated, Message -Wrap

4. Exportez les résultats pour analyse :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5377} -MaxEvents 100 | Export-Csv -Path "C:\Temp\Event5377_Analysis.csv" -NoTypeInformation

Corrélez l'ID d'événement 5377 avec les événements d'authentification associés pour construire une image complète de la sécurité.

1. Identifiez l'ID de connexion à partir de l'ID d'événement 5377
2. Recherchez les événements de connexion correspondants :

   $LogonID = "0x3e7"  # Remplacez par l'ID de connexion réel de l'événement 5377
   $CorrelatedEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634} | Where-Object {$_.Message -like "*$LogonID*"}

3. Créez une chronologie des événements associés :

   $AllEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4634,5377} -MaxEvents 200
   $AllEvents | Sort-Object TimeCreated | Select-Object TimeCreated, Id, @{Name='EventType';Expression={switch($_.Id){4624{'Logon'};4634{'Logoff'};5377{'Privileges'}}}}

4. Examinez la séquence pour identifier les modèles normaux vs. suspects
5. Documentez toute attribution de privilèges inhabituelle ou anomalie de synchronisation

Examinez les modèles dans les attributions de privilèges pour identifier les préoccupations de sécurité potentielles ou les violations de politique.

1. Extraire les informations de privilège des événements :

   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5377} -MaxEvents 500
   $PrivilegeData = $Events | ForEach-Object {
       $Message = $_.Message
       if ($Message -match 'Privileges:\s*(.+?)\n') {
           [PSCustomObject]@{
               Time = $_.TimeCreated
               Privileges = $matches[1].Trim()
               User = if ($Message -match 'Account Name:\s*(.+?)\n') { $matches[1].Trim() }
           }
       }
   }

2. Grouper par type de privilège pour identifier les attributions les plus courantes :

   $PrivilegeData | Group-Object Privileges | Sort-Object Count -Descending | Select-Object Name, Count

3. Vérifier les combinaisons de privilèges inhabituelles ou les privilèges à haut risque comme SeDebugPrivilege
4. Examiner les comptes utilisateurs recevant plusieurs privilèges spéciaux
5. Comparer avec les bases de sécurité et les politiques établies

Implémentez une surveillance complète pour l'ID d'événement 5377 afin d'améliorer la posture de sécurité et la conformité.

1. Vérifiez la configuration de la stratégie d'audit :

   auditpol /get /subcategory:"Special Logon"

2. Activez l'audit détaillé des privilèges si ce n'est pas déjà configuré :

   auditpol /set /subcategory:"Special Logon" /success:enable /failure:enable

3. Configurez la stratégie de groupe pour un audit cohérent à travers le domaine :
   • Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit
   • Activez Audit des connexions spéciales pour Succès et Échec
4. Configurez une surveillance automatisée avec le transfert d'événements Windows ou l'intégration SIEM
5. Créez des vues personnalisées dans le Visualiseur d'événements pour un accès rapide :

   <QueryList>
     <Query Id="0" Path="Security">
       <Select Path="Security">*[System[EventID=5377]]</Select>
     </Query>
   </QueryList>

6. Établissez des modèles de référence et des seuils d'alerte pour une activité inhabituelle