Skip to content

Quels ID d'événements et journaux Windows consulteriez-vous en premier lors d'une enquête sur une intrusion ?

Réponse courte

Le journal Security est primordial : 4624 connexion réussie (avec type de connexion), 4625 connexion échouée, 4634/4647 déconnexion, 4672 privilèges spéciaux attribués, 4720 compte créé, 4688 création de processus (avec ligne de commande si activée), et 4768/4769 Kerberos. Ajoutez 7045 installation de service (journal System), 4698 tâche planifiée créée, et la journalisation des blocs de script PowerShell (4104). Le type de connexion et l'audit des lignes de commande sont ce qui rend ces journaux utiles.

Dans une enquête, savoir quels artefacts répondent à quelle question fait gagner un temps précieux. Cette question vérifie que vous savez passer rapidement de « quelque chose s'est passé » aux journaux précis qui reconstituent l'activité de l'attaquant, plutôt que de faire défiler les journaux au hasard.

Authentification et comptes (journal Security)

  • 4624 — connexion réussie. Le champ Type de connexion est en or : type 3 (réseau), 10 (RemoteInteractive/RDP), 2 (interactive), 5 (service). Les connexions RDP et les connexions réseau inattendues vers des hôtes sensibles méritent un examen.
  • 4625 — connexion échouée ; regroupez-les pour distinguer une attaque par force brute d'un spray.
  • 4634 / 4647 — déconnexion ; 4672 — privilèges spéciaux attribués à la connexion (session admin/élevée).
  • 4720 / 4722 / 4728 / 4732 — compte créé, activé, ajouté à un groupe privilégié — signaux classiques de persistance et d'élévation de privilèges.
  • 4768 / 4769 — demandes de TGT/ticket de service Kerberos, utiles pour la chasse au Kerberoasting et au Golden Ticket.

Exécution et persistance

  • 4688 — création de processus. Avec l'audit des lignes de commande activé, il capture la ligne de commande complète, essentielle pour attraper du PowerShell encodé et les LOLBins.
  • 7045 (journal System) — un nouveau service a été installé ; 4697 est l'équivalent du journal Security.
  • 4698 — tâche planifiée créée.
  • PowerShell 4104 — la journalisation des blocs de script enregistre le contenu désobfusqué ; 4103 la journalisation des modules ajoute le détail du pipeline.

Pourquoi c'est important

Les valeurs par défaut sont limitées : beaucoup de ces éléments (ligne de commande dans 4688, blocs de script PowerShell) doivent être explicitement activés, et Sysmon ajoute une télémétrie bien plus riche sur les processus, le réseau et CreateRemoteThread. Une bonne réponse nomme les ID clés, explique que le type de connexion et l'audit des lignes de commande sont ce qui les rend exploitables, et note qu'une bonne RI dépend de la configuration de la journalisation avant l'incident.

Questions de suivi probables

  • Que vous dit le champ « type de connexion » du 4624, et quels types sont suspects ?
  • Pourquoi l'audit des lignes de commande à la création de processus doit-il être activé pour exploiter pleinement le 4688 ?
  • Comment Sysmon améliore-t-il les journaux Windows par défaut ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.