Blue Team Field NotesDFIR · SOC · Vulnerability Management
Journaux Windows

Event IDs de référence

Canaux Windows, Event IDs prioritaires, PowerShell, Sysmon et méthodes de recherche reproductibles.

Authentification

ID Signification Points de triage
4624 connexion réussie type de logon, IP, compte, workstation
4625 échec code d'échec, source, fréquence
4634 / 4647 fin de session corrélation de session
4648 identifiants explicites processus, compte cible, destination
4672 privilèges spéciaux compte et proximité d'un 4624
4740 compte verrouillé contrôleur et source

Comptes et groupes

ID Action
4720 création d'utilisateur
4722 / 4725 activation / désactivation
4723 / 4724 changement / reset de mot de passe
4726 suppression d'utilisateur
4728 / 4732 / 4756 ajout à un groupe
4738 modification d'utilisateur

Exécution et persistance

ID Action
4688 création de processus
4697 / 7045 installation de service
4698 création de tâche planifiée
1102 journal d'audit effacé
4719 stratégie d'audit modifiée
4104 script block PowerShell

Réseau et partage

ID Action
5140 accès à un partage
5145 vérification d'accès à un objet partagé
5156 connexion autorisée WFP
4768 / 4769 tickets Kerberos
4776 validation NTLM
Conseil opérationnel

Pour 4624, le type de logon est souvent plus informatif que l'ID : 2 interactif, 3 réseau, 10 RDP/RemoteInteractive, selon le contexte.

Références officielles