Mémo
Ce mémo regroupe les requêtes Graylog les plus courantes pour exploiter les logs Windows collectés via NXLog. Les champs utilisés (EventID, Channel, source) sont les champs standard GELF et NXLog. Les champs gl_role et gl_env sont des champs personnalisés définis dans les configurations NXLog de cette série d’articles.
Les requêtes s’utilisent dans la barre de recherche Graylog. On peut les combiner entre elles avec AND / OR et les affiner avec un intervalle de temps.
Authentification
Échecs d’ouverture de session
EventID:4625
Filtrer sur un serveur précis :
EventID:4625 AND source:SRV001
Ouvertures de session réussies
EventID:4624
Connexions RDP uniquement
Le LogonType 10 correspond au bureau à distance. Si un extracteur logon_type est en place :
EventID:4624 AND logon_type:10
Sans extracteur, chercher dans le corps du message :
EventID:4624 AND message:"Logon Type:\t\t\t10"
Connexions avec privilèges administrateur
EventID:4672
Utilisation de RunAs (identifiants explicites)
EventID:4648
Verrouillage de compte
EventID:4740
Accès aux fichiers et partages
Note : ces événements nécessitent l’activation de l’audit d’accès aux objets dans la GPO, ainsi que la configuration des SACL (System Access Control List) sur les dossiers à surveiller.
Accès à un partage réseau
EventID:5140
Accès détaillé à un fichier via un partage
EventID:5145
Filtrer sur un partage précis :
EventID:5145 AND message:"\\\\*\\MonPartage"
Lecture d’un fichier
L’EventID 4663 avec le masque d’accès 0x1 (ReadData) :
EventID:4663 AND message:"ReadData"
Écriture / modification d’un fichier
EventID:4663 AND message:"WriteData"
Suppression d’un fichier
EventID:4663 AND message:"DELETE"
Ou l’EventID dédié à la suppression :
EventID:4660
Note : le 4660 ne contient pas le nom du fichier. Il faut le corréler avec le 4663 précédent via le champ Handle ID pour retrouver le fichier supprimé.
Création d’un fichier ou d’un répertoire
EventID:4663 AND message:"WriteData"
L’EventID 4656 (demande d’accès à un objet) permet aussi de tracer les créations si l’audit est configuré finement :
EventID:4656
Gestion des comptes et groupes (DC)
Création d’un compte utilisateur
EventID:4720
Suppression d’un compte
EventID:4726
Modification d’un compte
EventID:4738
Changement de mot de passe
EventID:4723 OR EventID:4724
- 4723 : l’utilisateur a changé son propre mot de passe
- 4724 : un administrateur a réinitialisé le mot de passe
Ajout d’un membre à un groupe
EventID:4728 OR EventID:4732 OR EventID:4756
- 4728 : groupe global
- 4732 : groupe local
- 4756 : groupe universel
Filtrer sur un groupe sensible (ex. Domain Admins) :
(EventID:4728 OR EventID:4732 OR EventID:4756) AND message:"Domain Admins"
Suppression d’un membre d’un groupe
EventID:4729 OR EventID:4733 OR EventID:4757
Tâches planifiées
Création d’une tâche planifiée
EventID:4698
Suppression d’une tâche planifiée
EventID:4699
Modification d’une tâche planifiée
EventID:4702
Services
Installation d’un nouveau service
EventID:4697
Processus
Création de processus
EventID:4688
Chercher une commande suspecte dans la ligne de commande (si l’audit est activé) :
EventID:4688 AND message:"powershell*-enc*"
EventID:4688 AND message:"cmd*/c*"
Événements critiques (à surveiller en priorité)
Effacement du journal Security
EventID:1102
Modification de la stratégie d’audit
EventID:4719
Changement de l’heure système
EventID:4616
Modifications Active Directory (Directory Service Changes)
EventID:5136 OR EventID:5137 OR EventID:5141
- 5136 : modification d’un attribut
- 5137 : création d’un objet
- 5141 : suppression d’un objet
Kerberos (DC)
Demande de TGT
EventID:4768
Échec de pré-authentification (brute force, AS-REP Roasting)
EventID:4771
Demande de ticket de service (Kerberoasting)
EventID:4769
Filtrer les demandes suspectes (chiffrement RC4, souvent signe de Kerberoasting) :
EventID:4769 AND message:"0x17"
Combinaisons utiles
Vue d’ensemble d’un serveur
source:SRV001 AND Channel:Security
Tous les événements critiques en un coup d’oeil
EventID:1102 OR EventID:4719 OR EventID:4697 OR EventID:4698 OR EventID:4740
Activité d’un utilisateur précis
Channel:Security AND message:"jean.dupont"
Tous les DC uniquement
gl_role:dc*