Journaux Windows
Canaux et stratégie d’audit
Canaux Windows, Event IDs prioritaires, PowerShell, Sysmon et méthodes de recherche reproductibles.
Canaux prioritaires
| Canal | Usage |
|---|---|
| Security | authentification, comptes, processus si audit activé |
| System | services, démarrages, pilotes, erreurs |
| Application | événements applicatifs |
| PowerShell/Operational | exécution PowerShell et script block |
| TaskScheduler/Operational | tâches planifiées |
| TerminalServices-* | RDP |
| Windows Defender/Operational | détections antivirus |
| Sysmon/Operational | télémétrie enrichie si Sysmon installé |
Lister les journaux
Get-WinEvent -ListLog * | Where-Object RecordCount -gt 0 |
Sort-Object RecordCount -Descending |
Select-Object LogName, RecordCount, FileSize, IsEnabled
Export
wevtutil epl Security C:\IR\Security.evtx /ow:true
wevtutil epl System C:\IR\System.evtx /ow:true
Audit de création de processus
Active l'audit adapté via GPO et l'inclusion de la ligne de commande si conforme à la politique, car elle peut contenir des données sensibles.
Capacité et rétention
wevtutil gl Security
Vérifie taille maximale, rétention et écrasement. Centralise les événements critiques vers le SIEM.
À retenir
Un Event ID n'est utile que si la sous-catégorie d'audit et la source correspondante sont activées avant l'incident.