Blue Team Field NotesDFIR · SOC · Vulnerability Management
Journaux Windows

Canaux et stratégie d’audit

Canaux Windows, Event IDs prioritaires, PowerShell, Sysmon et méthodes de recherche reproductibles.

Canaux prioritaires

Canal Usage
Security authentification, comptes, processus si audit activé
System services, démarrages, pilotes, erreurs
Application événements applicatifs
PowerShell/Operational exécution PowerShell et script block
TaskScheduler/Operational tâches planifiées
TerminalServices-* RDP
Windows Defender/Operational détections antivirus
Sysmon/Operational télémétrie enrichie si Sysmon installé

Lister les journaux

Get-WinEvent -ListLog * | Where-Object RecordCount -gt 0 |
  Sort-Object RecordCount -Descending |
  Select-Object LogName, RecordCount, FileSize, IsEnabled

Export

wevtutil epl Security C:\IR\Security.evtx /ow:true
wevtutil epl System C:\IR\System.evtx /ow:true

Audit de création de processus

Active l'audit adapté via GPO et l'inclusion de la ligne de commande si conforme à la politique, car elle peut contenir des données sensibles.

Capacité et rétention

wevtutil gl Security

Vérifie taille maximale, rétention et écrasement. Centralise les événements critiques vers le SIEM.

À retenir

Un Event ID n'est utile que si la sous-catégorie d'audit et la source correspondante sont activées avant l'incident.

Références officielles