Référence rapide des Event IDs Windows essentiels pour la détection de menaces et l'investigation SOC.
Event ID Description Criticité 4624 Connexion réussie Info 4625 Connexion échouée ⚠️ Medium 4634 Déconnexion Info 4647 Déconnexion initiée par l'utilisateur Info 4648 Connexion avec credentials explicites (runas) ⚠️ Medium 4672 Privilèges spéciaux assignés (admin) ⚠️ Medium
L'Event 4624 contient un champ Logon Type :
Type Description Contexte 2 Interactive Connexion locale (clavier) 3 Network Accès réseau (partage, SMB) 4 Batch Tâche planifiée 5 Service Démarrage de service 7 Unlock Déverrouillage session 8 NetworkCleartext Mot de passe en clair (FTP, IIS) 9 NewCredentials RunAs avec /netonly 10 RemoteInteractive RDP 11 CachedInteractive Connexion avec cache (hors réseau)
Event ID 4625 (échec) en grande quantité
+ même compte cible
+ IPs sources multiples ou unique
= Probable attaque brute force
Event ID Description Criticité 4720 Compte utilisateur créé ⚠️ Medium 4722 Compte utilisateur activé Info 4723 Tentative de changement de mot de passe Info 4724 Réinitialisation de mot de passe ⚠️ Medium 4725 Compte utilisateur désactivé Info 4726 Compte utilisateur supprimé ⚠️ Medium 4738 Compte utilisateur modifié Info 4740 Compte verrouillé (lockout) ⚠️ Medium
Event ID Description Criticité 4727 Groupe global créé Info 4728 Membre ajouté à un groupe global ⚠️ Medium 4729 Membre retiré d'un groupe global Info 4731 Groupe local créé Info 4732 Membre ajouté à un groupe local ⚠️ Medium 4733 Membre retiré d'un groupe local Info 4735 Groupe local modifié Info 4737 Groupe global modifié Info 4755 Groupe universel modifié Info 4756 Membre ajouté à un groupe universel ⚠️ Medium
Event ID 4720 (création compte)
+ Event ID 4732 (ajout au groupe Administrators)
= Possible création de backdoor
Event ID Description Criticité 4688 Nouveau processus créé Info 4689 Processus terminé Info
- NewProcessName : Chemin du processus
- CommandLine : Arguments (si activé)
- ParentProcessName : Processus parent
- SubjectUserName : Utilisateur qui lance
- TokenElevationType : Niveau de privilège
⚠️ CommandLine doit être activé via GPO pour apparaître.
Processus suspects :
- cmd.exe lancé par excel.exe ou word.exe
- powershell.exe avec -enc ou -encodedcommand
- certutil.exe avec -urlcache
- mshta.exe, wscript.exe, cscript.exe
- processus depuis C:\Users\*\AppData\
Event ID Description Criticité 7034 Service crashé de manière inattendue ⚠️ Medium 7035 Service envoyé un contrôle (start/stop) Info 7036 Service démarré ou arrêté Info 7040 Type de démarrage modifié ⚠️ Medium 7045 Nouveau service installé 🔴 High
Champs à analyser :
- ServiceName : Nom du service
- ImagePath : Chemin de l'exécutable
- ServiceType : Type de service
- StartType : Mode de démarrage
Event ID 7045 avec :
- ImagePath vers C:\Users\ ou C:\Temp\
- ServiceName aléatoire ou suspect
- StartType = Auto
= Possible malware installé comme service
Event ID Description Criticité 4698 Tâche planifiée créée ⚠️ Medium 4699 Tâche planifiée supprimée Info 4700 Tâche planifiée activée Info 4701 Tâche planifiée désactivée Info 4702 Tâche planifiée modifiée ⚠️ Medium
Event ID 4698 avec :
- Action pointant vers script suspect
- Trigger au démarrage ou connexion
- Créé par un utilisateur non-admin
= Possible persistence malware
Event ID Log Description 4103 PowerShell Operational Module logging 4104 PowerShell Operational Script block logging 400 PowerShell Démarrage du moteur 403 PowerShell Arrêt du moteur
Capture le contenu des scripts exécutés, même obfusqués.
Rechercher :
- Invoke-Expression, IEX
- Invoke-WebRequest, wget, curl
- -EncodedCommand, -enc
- DownloadString, DownloadFile
- New-Object Net.WebClient
- [Convert]::FromBase64String
- Invoke-Mimikatz, Invoke-Kerberoast
Event ID Description Criticité 4663 Tentative d'accès à un objet Info 4656 Handle demandé sur un objet Info 4658 Handle fermé Info 4660 Objet supprimé Info 4670 Permissions modifiées ⚠️ Medium
Event ID Description Criticité 5140 Accès à un partage réseau Info 5142 Partage réseau ajouté ⚠️ Medium 5143 Partage réseau modifié ⚠️ Medium 5144 Partage réseau supprimé Info 5145 Accès à un fichier partagé Info
Event ID Description Criticité 4768 TGT demandé (AS-REQ) Info 4769 Service ticket demandé (TGS-REQ) Info 4770 Service ticket renouvelé Info 4771 Pré-authentification Kerberos échouée ⚠️ Medium 4776 Validation credentials NTLM Info
Event ID 4769 avec :
- ServiceName ne terminant pas par $
- TicketEncryptionType = 0x17 (RC4)
- Volume élevé pour un même utilisateur
= Possible Kerberoasting
Event ID 4769 avec :
- ServiceName = krbtgt
- Anomalies dans le TGT
= Possible Golden Ticket
Event ID Description Criticité 5152 Paquet bloqué par WFP Info 5153 Filtre WFP bloqué Info 5154 Application autorisée à écouter Info 5155 Application bloquée d'écouter ⚠️ Medium 5156 Connexion autorisée Info 5157 Connexion bloquée Info
%SystemRoot%\System32\winevt\Logs\
Logs principaux :
- Security.evtx
- System.evtx
- Application.evtx
- Microsoft-Windows-PowerShell%4Operational.evtx
- Microsoft-Windows-Sysmon%4Operational.evtx
# Lister les événements récents
Get-WinEvent -LogName Security -MaxEvents 100
# Filtrer par Event ID
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625}
# Connexions échouées des dernières 24h
Get-WinEvent -FilterHashtable @{
LogName='Security'
ID=4625
StartTime=(Get-Date).AddDays(-1)
}
# Exporter en CSV
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} |
Select-Object TimeCreated, Message |
Export-Csv -Path "logons.csv"
Event ID : 4625
Logon Type : 10 (RemoteInteractive)
Status : 0xC000006D (mauvais username) ou 0xC000006A (mauvais password)
Fréquence : > 10 en 5 minutes
Event ID : 4624
Logon Type : 3 (Network)
Authentication Package : NTLM
Source IP : interne
Compte : administrateur
Event ID : 4672 (privilèges spéciaux)
+ Event ID 4688 (nouveau processus)
Processus : cmd.exe ou powershell.exe
Utilisateur : non-admin qui devient admin
Event ID : 7045 (nouveau service)
OU Event ID : 4698 (nouvelle tâche planifiée)
ImagePath/Action : chemin suspect
Event ID : 5145 (accès fichier partagé)
Volume : élevé en peu de temps
Source : même utilisateur
Destination : externe ou cloud
Event ID Description Pourquoi 4624 Connexion réussie Baseline activité 4625 Connexion échouée Brute force 4648 Connexion explicite Lateral movement 4672 Privilèges admin Escalation 4688 Nouveau processus Exécution malware 4720 Compte créé Persistence 4732 Ajout groupe admin Persistence 7045 Nouveau service Persistence 4698 Tâche planifiée Persistence 4104 PowerShell script Exécution malware
