Expliquez-moi ce que signifient les event IDs Windows 4624, 4625 et 4688 et comment vous les utiliseriez dans une enquête.
Réponse courte
4624 est un logon réussi, 4625 est un logon échoué, et 4688 est une création de processus. Dans une enquête, vous utilisez 4625 pour repérer les attaques d'identifiants, 4624 (avec son type de logon et sa source) pour confirmer un accès réussi et comment il s'est produit, et 4688 pour voir ce qui a réellement été exécuté, idéalement avec l'audit de ligne de commande activé.
Les journaux d'événements de sécurité Windows sont le pain quotidien d'un analyste SOC, et ces trois IDs reviennent sans cesse. Les recruteurs posent cette question pour confirmer que vous savez lire les logs vous-même plutôt que de vous reposer entièrement sur un outil pour les interpréter.
4624 — logon réussi
L'événement 4624 enregistre un logon réussi. Le champ le plus important est le type de logon, qui vous dit comment la session a été créée : type 2 (interactif, au clavier), type 3 (réseau, p. ex. accès à un partage), type 10 (RemoteInteractive / RDP) et type 5 (service). Il enregistre aussi le compte source, l'IP source et le package d'authentification. Un logon de type 10 depuis une IP externe inattendue, par exemple, est un fort signal de compromission RDP.
4625 — logon échoué
L'événement 4625 est un logon échoué, le cheval de bataille pour repérer les attaques d'identifiants. Les codes de statut/sous-statut expliquent pourquoi il a échoué (mauvais mot de passe, compte désactivé, compte verrouillé). De nombreux 4625 contre un seul compte suggèrent une force brute ; quelques-uns chacun sur de nombreux comptes suggèrent un password spray.
4688 — création de processus
L'événement 4688 enregistre un nouveau processus. C'est ici que vous voyez ce qui s'est exécuté. Crucialement, avec l'audit de ligne de commande activé, le 4688 capture la ligne de commande complète — inestimable pour attraper du PowerShell encodé, des abus de rundll32 ou des binaires living-off-the-land. Associez-le au processus parent pour repérer des chaînes suspectes comme Word lançant cmd.exe.
Les chaîner ensemble
La vraie puissance est la corrélation : une rafale de 4625 suivie d'un 4624 depuis la même source signifie qu'une attaque d'identifiants a réussi ; suivre ce compte dans les événements 4688 montre ce que l'attaquant a fait ensuite.
Pourquoi c'est important
Savoir lire ces événements et leurs champs clés — pas seulement réciter les numéros — montre à un recruteur que vous pouvez enquêter sur un hôte Windows directement, ce qui est au cœur du travail SOC.
Questions de suivi probables
- Qu'est-ce qu'un type de logon et pourquoi le type 3 face au type 10 importe-t-il ?
- Pourquoi l'audit de ligne de commande est-il important pour les événements 4688 ?
- Comment chaîneriez-vous un 4625 puis un 4624 pour repérer une force brute réussie ?