Journaux Windows
Event IDs de référence
Canaux Windows, Event IDs prioritaires, PowerShell, Sysmon et méthodes de recherche reproductibles.
Authentification
| ID | Signification | Points de triage |
|---|---|---|
| 4624 | connexion réussie | type de logon, IP, compte, workstation |
| 4625 | échec | code d'échec, source, fréquence |
| 4634 / 4647 | fin de session | corrélation de session |
| 4648 | identifiants explicites | processus, compte cible, destination |
| 4672 | privilèges spéciaux | compte et proximité d'un 4624 |
| 4740 | compte verrouillé | contrôleur et source |
Comptes et groupes
| ID | Action |
|---|---|
| 4720 | création d'utilisateur |
| 4722 / 4725 | activation / désactivation |
| 4723 / 4724 | changement / reset de mot de passe |
| 4726 | suppression d'utilisateur |
| 4728 / 4732 / 4756 | ajout à un groupe |
| 4738 | modification d'utilisateur |
Exécution et persistance
| ID | Action |
|---|---|
| 4688 | création de processus |
| 4697 / 7045 | installation de service |
| 4698 | création de tâche planifiée |
| 1102 | journal d'audit effacé |
| 4719 | stratégie d'audit modifiée |
| 4104 | script block PowerShell |
Réseau et partage
| ID | Action |
|---|---|
| 5140 | accès à un partage |
| 5145 | vérification d'accès à un objet partagé |
| 5156 | connexion autorisée WFP |
| 4768 / 4769 | tickets Kerberos |
| 4776 | validation NTLM |
Conseil opérationnel
Pour 4624, le type de logon est souvent plus informatif que l'ID : 2 interactif, 3 réseau, 10 RDP/RemoteInteractive, selon le contexte.