Selon Statcounter, 75,18% des serveurs dans le monde utilisent un système d’exploitation Windows.
Comme la majorité des organisations fonctionnent sous Windows, cela en fait une cible populaire pour les attaquants ayant accès à une grande variété d’outils de piratage Windows. C’est pourquoi la sécurité du réseau dépend largement de la sécurisation de votre environnement Windows. La première étape pour protéger les systèmes Windows consiste à configurer correctement les paramètres de sécurité. Les administrateurs de la sécurité doivent également auditer et suivre périodiquement les journaux d’événements Windows afin de détecter les activités malveillantes et de prévenir les violations potentielles.
Cependant, ce n’est pas une tâche facile. Avec de nombreux utilisateurs se connectant aux systèmes Windows, la supervision des journaux d’événements pour repérer les activités malveillantes peut devenir difficile. En surveillant les mauvais identifiants d’événements ou en ne mettant pas en place un système de réponse aux incidents, vous risquez de laisser des vulnérabilités dangereuses que les pirates pourront exploiter. Par conséquent, la clé de la sécurisation de votre réseau Windows est l’audit des événements de sécurité critiques et la mise en place d’alertes pour détecter les anomalies de comportement.
Voici quelques ID d’événements Windows critiques à surveiller:
Event ID 4625: Failed logon.
Event ID 1102: Audit log clearance.
Event ID 4657: Registry value modification.
Event ID 4673: A privileged service was called.
Event ID 4688: Creation of a new process.
Event ID 4771: Failed Kerberos pre-authentication.
Event ID 5156: Permitted an inbound or outbound connection to a server.
Event ID 4663: Attempt to access objects in the network.
Si vous vous demandez simplement : “Que dois-je superviser ?”, il existe des milliers de blogs sur Google pour vous indiquer les ID d’événements exacts qui devraient figurer dans votre liste de contrôle d’audit dès maintenant. Mais pour mieux comprendre la supervision de la sécurité de Windows, consultez notre guide en ligne « Windows Auditing 101 » et découvrez la liste complète des événements que vous devez surveiller et auditer. Dans ce guide, nous expliquons
- Ce que vous devez savoir sur l’audit de Windows et de Sysmon, depuis les bases jusqu’aux informations que vous devez obtenir des journaux.
- Quels IDs d’événements Windows et Sysmon critiques vous devez surveiller.
- Comment mettre en corrélation ces identifiants d’événements avec d’autres activités sur votre réseau pour obtenir une vision globale de votre posture de sécurité.
Cas d’utilisation expliqués dans le guide:
-
Cas d’utilisation basique de l’audit de Windows
- Supervision des événements pour découvrir les attaquants au sein du réseau
- Surveillance des activités de connexion inhabituelles
- Découverte de modifications malveillantes du registre
- Détection d’une éventuelle attaque par force brute
- Audit des activités des fichiers et des dossiers
- Surveillance des connexions entrantes et sortantes
-
Cas d’utilisation avancée de l’audit de Windows
- Détection de l’abus de comptes privilégiés
- Détection des attaques de type Kerberoasting et spraying
- Supervision des périphériques externes utilisés dans votre réseau
- Suivi de l’activité potentielle des logiciels malveillants
- Détection d’un compte unique essayant de se connecter à plusieurs hôtes
-
Cas critiques d’utilisation de la journalisation Sysmon
- Détection des logiciels malveillants dans les attaques de phishing
- Détection de l’activité de Mimikatz dans votre réseau
- Suivi des modifications du registre
- Identification du trafic DNS
- Détection des mouvements latéraux
- Détection de l’altération des processus
Source: Critical Windows event IDs and security use cases to monitor
