ID d'événement Windows 5484 – Microsoft-Windows-Security-Auditing : Une poignée vers un objet a été demandée

Commencez par examiner les détails spécifiques de l'ID d'événement 5484 pour comprendre le contexte de la demande d'accès à l'objet.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 5484 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 5484 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 5484 pour voir des informations détaillées, y compris :
   • Sujet : Compte utilisateur et processus faisant la demande
   • Objet : Nom et type de l'objet cible
   • ID de poignée : Identifiant unique pour la poignée
   • Masque d'accès : Permissions spécifiques demandées
6. Notez le Nom du processus et l'ID du processus pour corréler avec d'autres événements
7. Vérifiez la valeur du Masque d'accès pour comprendre quelles permissions ont été demandées

Utilisez PowerShell pour filtrer et analyser efficacement les occurrences de l'ID d'événement 5484 avec des critères spécifiques.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes de l'ID d'événement 5484 :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5484} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message

3. Filtrez les événements par nom de processus spécifique :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5484} | Where-Object {$_.Message -like '*notepad.exe*'} | Select-Object TimeCreated, Message

4. Recherchez des événements à partir d'un compte utilisateur spécifique :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5484} | Where-Object {$_.Message -like '*DOMAIN\username*'} | Format-Table TimeCreated, Id -AutoSize

5. Exportez les résultats filtrés vers un fichier CSV pour analyse :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5484; StartTime=(Get-Date).AddHours(-24)} | Select-Object TimeCreated, Id, Message | Export-Csv -Path 'C:\temp\Event5484_Analysis.csv' -NoTypeInformation

6. Comptez les événements par nom de processus :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5484} | ForEach-Object {($_.Message -split '\n' | Select-String 'Process Name:').ToString().Split('\t')[-1]} | Group-Object | Sort-Object Count -Descending

Ajustez la stratégie d'audit d'accès aux objets pour contrôler quand l'ID d'événement 5484 est généré et réduire le bruit.

1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Accès aux objets
3. Configurez la stratégie Audit File System:
   • Double-cliquez sur Audit File System
   • Cochez Configurer les événements d'audit suivants
   • Sélectionnez Succès et/ou Échec selon les besoins
   • Cliquez sur OK
4. Définissez l'audit de dossier spécifique en utilisant Paramètres de sécurité avancés:
   • Cliquez avec le bouton droit sur le dossier cible et sélectionnez Propriétés
   • Allez à l'onglet Sécurité → Avancé → onglet Audit
   • Cliquez sur Ajouter pour créer une nouvelle entrée d'audit
   • Sélectionnez le principal (utilisateur/groupe) et configurez les types d'accès à auditer
5. Appliquez les modifications de stratégie:

   gpupdate /force

6. Vérifiez l'application de la stratégie:

   auditpol /get /subcategory:"File System"

Recoupez l'ID d'événement 5484 avec les événements de création de processus pour obtenir une image complète de l'activité du système.

1. Activez l'audit de création de processus si ce n'est pas déjà configuré :

   auditpol /set /subcategory:"Process Creation" /success:enable

2. Interrogez les événements corrélés en utilisant PowerShell :

   # Obtenez l'ID d'événement 5484 avec les détails du processus
   $ObjectAccess = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5484; StartTime=(Get-Date).AddHours(-1)}
   
   # Obtenez les événements de création de processus (4688)
   $ProcessCreation = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688; StartTime=(Get-Date).AddHours(-1)}
   
   # Corrélez par ID de processus
   $ObjectAccess | ForEach-Object {
       $ProcessId = ($_.Message -split '\n' | Select-String 'Process ID:').ToString().Split('\t')[-1]
       $RelatedProcess = $ProcessCreation | Where-Object {$_.Message -like "*$ProcessId*"}
       if ($RelatedProcess) {
           Write-Output "Accès à l'objet : $($_.TimeCreated) - Processus : $ProcessId"
           Write-Output "Création de processus : $($RelatedProcess.TimeCreated)"
       }
   }

3. Créez un script d'analyse chronologique :

   # Script de corrélation chronologique
   $Events = @()
   $Events += Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688,5484; StartTime=(Get-Date).AddHours(-2)} | Select-Object TimeCreated, Id, Message
   $Events | Sort-Object TimeCreated | Format-Table TimeCreated, Id -AutoSize

4. Vérifiez les motifs suspects :
   • Multiples demandes de poignée du même processus dans des délais courts
   • Processus inhabituels accédant à des répertoires sensibles
   • Demandes de poignée avec des masques d'accès élevés à partir de processus non administratifs
5. Exportez les données de corrélation pour une analyse plus approfondie :

   $CorrelatedEvents | Export-Csv -Path 'C:\temp\ProcessCorrelation.csv' -NoTypeInformation

Implémentez des techniques de filtrage et d'analyse avancées pour identifier les modèles d'ID d'événement 5484 pertinents pour la sécurité.

1. Créez une fonction PowerShell personnalisée pour une analyse détaillée :

   function Analyze-Event5484 {
       param(
           [int]$Hours = 24,
           [string]$ProcessFilter = '*',
           [string]$ObjectFilter = '*'
       )
       
       $Events = Get-WinEvent -FilterHashtable @{
           LogName='Security'
           Id=5484
           StartTime=(Get-Date).AddHours(-$Hours)
       }
       
       $Analysis = $Events | ForEach-Object {
           $Message = $_.Message
           $ProcessName = ($Message -split '\n' | Select-String 'Process Name:').ToString().Split('\t')[-1]
           $ObjectName = ($Message -split '\n' | Select-String 'Object Name:').ToString().Split('\t')[-1]
           $AccessMask = ($Message -split '\n' | Select-String 'Access Mask:').ToString().Split('\t')[-1]
           
           [PSCustomObject]@{
               TimeCreated = $_.TimeCreated
               ProcessName = $ProcessName
               ObjectName = $ObjectName
               AccessMask = $AccessMask
               EventId = $_.Id
           }
       } | Where-Object {
           $_.ProcessName -like $ProcessFilter -and $_.ObjectName -like $ObjectFilter
       }
       
       return $Analysis
   }

2. Utilisez la fonction pour analyser des modèles spécifiques :

   # Analyze suspicious executable access
   $SuspiciousAccess = Analyze-Event5484 -Hours 12 -ObjectFilter '*.exe'
   $SuspiciousAccess | Group-Object ProcessName | Sort-Object Count -Descending
   
   # Check for registry access patterns
   $RegistryAccess = Analyze-Event5484 -Hours 6 -ObjectFilter '*\Registry\*'
   $RegistryAccess | Format-Table TimeCreated, ProcessName, ObjectName -AutoSize

3. Implémentez des alertes basées sur des seuils :

   # Alert on high-frequency access patterns
   $ThresholdEvents = Analyze-Event5484 -Hours 1
   $FrequentAccess = $ThresholdEvents | Group-Object ProcessName | Where-Object {$_.Count -gt 100}
   if ($FrequentAccess) {
       Write-Warning "High frequency object access detected from: $($FrequentAccess.Name -join ', ')"
   }

4. Mettez en place une surveillance automatisée avec le Planificateur de tâches :
   • Créez un script PowerShell avec votre logique d'analyse
   • Utilisez le Planificateur de tâches pour exécuter le script à intervalles réguliers
   • Configurez des alertes par e-mail ou des sorties de fichiers journaux pour les anomalies détectées
5. Examinez et ajustez les règles de filtrage en fonction du comportement de référence :

   # Establish baseline patterns
   $Baseline = Analyze-Event5484 -Hours 168 | Group-Object ProcessName, ObjectName | Sort-Object Count -Descending
   $Baseline | Select-Object Name, Count | Export-Csv -Path 'C:\temp\Event5484_Baseline.csv'