ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

Commencez par examiner les détails spécifiques de l'ID d'événement 6274 pour comprendre quels privilèges ont été attribués et à quel compte utilisateur.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 6274 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 6274 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 6274 pour voir des informations détaillées, y compris :
   • Sujet : Compte utilisateur qui a reçu des privilèges
   • ID de connexion : Identifiant de session pour la corrélation
   • Privilèges : Liste des privilèges spéciaux attribués
6. Notez l'horodatage et corrélez avec d'autres événements de sécurité en utilisant l'ID de connexion

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6274} -MaxEvents 50 | Select-Object TimeCreated, Id, @{Name='User';Expression={$_.Properties[1].Value}}, @{Name='LogonId';Expression={$_.Properties[2].Value}}

Examinez les modèles dans les attributions de privilèges pour identifier l'activité normale par rapport à l'activité suspecte et assurer un contrôle d'accès approprié.

1. Interrogez les événements pour des utilisateurs spécifiques afin d'établir des modèles de privilèges de référence :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6274} -MaxEvents 1000
$Events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        User = $xml.Event.EventData.Data[1].'#text'
        LogonId = $xml.Event.EventData.Data[2].'#text'
        Privileges = $xml.Event.EventData.Data[4].'#text'
    }
} | Group-Object User | Sort-Object Count -Descending

2. Examinez la Stratégie de sécurité locale pour vérifier les attributions de droits des utilisateurs :
   • Exécutez secpol.msc en tant qu'administrateur
   • Accédez à Stratégies locales → Attribution des droits utilisateur
   • Vérifiez les attributions pour des privilèges tels que "Déboguer des programmes", "Charger et décharger des pilotes de périphériques", "Agir en tant que partie du système d'exploitation"
3. Comparez les privilèges attribués aux exigences du poste et au principe du moindre privilège
4. Documentez toute attribution de privilèges inattendue pour une enquête plus approfondie

Associez l'ID d'événement 6274 avec les événements de connexion associés pour construire une image complète de l'établissement de session utilisateur et de l'utilisation des privilèges.

1. Identifiez l'ID de connexion à partir de l'événement 6274 et recherchez les événements de connexion correspondants :

$LogonId = "0x3e7"  # Remplacez par l'ID de connexion réel de l'événement 6274
$RelatedEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634,4647,6274} | Where-Object {
    $_.Message -match $LogonId
} | Sort-Object TimeCreated

2. Analysez la séquence des événements pour comprendre la session de connexion complète :
   • Événement 4624 : Connexion réussie
   • Événement 6274 : Privilèges spéciaux attribués
   • Événement 4634/4647 : Événements de déconnexion
3. Vérifiez les événements d'utilisation des privilèges qui suivent l'attribution des privilèges :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4672,4673,4674} | Where-Object {
    $_.TimeCreated -gt (Get-Date).AddHours(-24) -and $_.Message -match $LogonId
}

4. Examinez les événements d'audit Processus et Thread (4688, 4689) pour voir si les privilèges élevés ont été effectivement utilisés
5. Générez un rapport chronologique combinant tous les événements liés pour une analyse complète

Configurez une surveillance proactive pour détecter les attributions de privilèges inhabituelles et les menaces de sécurité potentielles en temps réel.

1. Créez un abonnement personnalisé Windows Event Forwarding (WEF) pour centraliser la collecte de l'événement 6274 :

<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>PrivilegeAssignment</SubscriptionId>
    <Query>
        <Select Path="Security">*[System[(EventID=6274)]]</Select>
    </Query>
</Subscription>

2. Configurez la stratégie de groupe pour activer la stratégie d'audit avancée pour l'utilisation des privilèges :
   • Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration de la stratégie d'audit avancée
   • Activez Audit de l'utilisation des privilèges sensibles et Audit de l'utilisation des privilèges non sensibles
3. Créez un script de surveillance PowerShell pour les alertes en temps réel :

Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=6274" -Action {
    $Event = $Event.SourceEventArgs.NewEvent
    $Message = $Event.Message
    if ($Message -match "SeDebugPrivilege|SeTcbPrivilege|SeLoadDriverPrivilege") {
        Send-MailMessage -To "security@company.com" -Subject "High-Risk Privilege Assignment" -Body $Message -SmtpServer "mail.company.com"
    }
}

4. Intégrez avec des solutions SIEM en utilisant Windows Event Collector ou des agents tiers
5. Mettez en place des procédures de réponse automatisées pour les attributions de privilèges critiques

Effectuer une analyse médico-légale détaillée des attributions de privilèges pour les enquêtes de sécurité et les exigences de conformité.

1. Exporter les données de l'événement 6274 pour une analyse à long terme et des rapports de conformité :

$StartDate = (Get-Date).AddDays(-30)
$EndDate = Get-Date
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=6274; StartTime=$StartDate; EndTime=$EndDate}

$Report = $Events | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        Computer = $_.MachineName
        User = $xml.Event.EventData.Data[1].'#text'
        LogonId = $xml.Event.EventData.Data[2].'#text'
        LogonType = $xml.Event.EventData.Data[3].'#text'
        Privileges = $xml.Event.EventData.Data[4].'#text'
    }
}

$Report | Export-Csv -Path "C:\Reports\PrivilegeAssignments_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation

2. Analyser la fréquence et les modèles d'attribution de privilèges pour la détection d'anomalies :

$Report | Group-Object User | Sort-Object Count -Descending | Select-Object Name, Count, @{Name='LastAssignment';Expression={($_.Group | Sort-Object TimeCreated -Descending)[0].TimeCreated}}

3. Faire une référence croisée avec Active Directory pour valider les autorisations des utilisateurs :

Import-Module ActiveDirectory
$UniqueUsers = $Report | Select-Object -ExpandProperty User -Unique
foreach ($User in $UniqueUsers) {
    try {
        $ADUser = Get-ADUser -Identity $User -Properties MemberOf
        Write-Output "$User groups: $($ADUser.MemberOf -join '; ')"
    } catch {
        Write-Warning "Could not find AD user: $User"
    }
}

4. Générer des rapports de conformité montrant les tendances d'attribution de privilèges et l'adhésion aux politiques
5. Archiver les données médico-légales selon les politiques de rétention organisationnelles