ID d'événement Windows 4111 – Microsoft-Windows-Kernel-Process : Événement d'audit de création de processus

Commencez par examiner les entrées spécifiques de l'ID d'événement 4111 pour comprendre quels processus sont créés et leur contexte.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Dans le volet Actions, cliquez sur Filtrer le journal actuel
4. Entrez 4111 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 4111 pour examiner les détails
6. Consultez l'onglet Général pour le nom du processus, le PID et les informations sur le processus parent
7. Vérifiez l'onglet Détails pour les données XML complètes, y compris les arguments de ligne de commande
8. Notez l'horodatage, le compte utilisateur et les détails de la session de connexion

Recherchez des noms de processus inhabituels, des arguments de ligne de commande suspects ou des processus s'exécutant sous des comptes utilisateur inattendus. Faites attention aux processus générés par des vecteurs d'attaque courants comme les applications Office, les navigateurs ou les clients de messagerie.

Utilisez PowerShell pour analyser de manière programmatique les modèles d'ID d'événement 4111 et extraire des informations spécifiques pour l'enquête.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les entrées récentes de l'ID d'événement 4111 :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4111} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message

3. Filtrer les événements par plage horaire spécifique :

$StartTime = (Get-Date).AddHours(-24)
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4111; StartTime=$StartTime}
$Events | Format-Table TimeCreated, Id, Message -Wrap

4. Extraire les détails de création de processus :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4111} -MaxEvents 100
foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $ProcessName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessName'} | Select-Object -ExpandProperty '#text'
    $PID = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'} | Select-Object -ExpandProperty '#text'
    Write-Output "Time: $($Event.TimeCreated) | Process: $ProcessName | PID: $PID"
}

5. Exporter les résultats pour une analyse plus approfondie :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4111} -MaxEvents 1000 | Export-Csv -Path "C:\Temp\ProcessCreation_4111.csv" -NoTypeInformation

Assurez-vous de configurer correctement la politique d'audit pour capturer l'ID d'événement 4111 de manière cohérente et ajustez les niveaux de journalisation si nécessaire.

1. Ouvrez Group Policy Management Console ou Local Group Policy Editor (gpedit.msc)
2. Accédez à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit
3. Développez Suivi détaillé
4. Double-cliquez sur Audit de la création de processus
5. Cochez Configurer les événements d'audit suivants
6. Sélectionnez les cases Succès et Échec
7. Cliquez sur OK et fermez l'éditeur de stratégie de groupe
8. Mettez à jour la stratégie de groupe en exécutant :

gpupdate /force

9. Vérifiez que la politique d'audit est active :

auditpol /get /category:"Detailed Tracking"

10. Pour l'audit de la ligne de commande, activez également :

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1 /f

Enquêtez sur les modèles de création de processus suspects en analysant les relations parent-enfant et les chaînes d'exécution de processus.

1. Créez un script PowerShell pour mapper les relations de processus :

$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4111} -MaxEvents 500
$ProcessTree = @{}

foreach ($Event in $Events) {
    $XML = [xml]$Event.ToXml()
    $ProcessName = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessName'}).'#text'
    $ProcessId = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'NewProcessId'}).'#text'
    $ParentProcessName = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ParentProcessName'}).'#text'
    $ParentProcessId = ($XML.Event.EventData.Data | Where-Object {$_.Name -eq 'ProcessId'}).'#text'
    
    $ProcessTree[$ProcessId] = @{
        'ProcessName' = $ProcessName
        'ParentProcessId' = $ParentProcessId
        'ParentProcessName' = $ParentProcessName
        'TimeCreated' = $Event.TimeCreated
    }
}

$ProcessTree | ConvertTo-Json -Depth 3

2. Identifiez les chaînes de processus suspectes :

# Recherchez les applications Office générant des processus inhabituels
$SuspiciousChains = $ProcessTree.GetEnumerator() | Where-Object {
    $_.Value.ParentProcessName -match "(winword|excel|powerpnt|outlook)" -and
    $_.Value.ProcessName -match "(powershell|cmd|wscript|cscript|rundll32)"
}

$SuspiciousChains | Format-Table -AutoSize

3. Surveillez les techniques de living-off-the-land :

# Détectez l'utilisation potentielle de LOLBins
$LOLBins = @('certutil', 'bitsadmin', 'regsvr32', 'mshta', 'rundll32', 'installutil')
$SuspiciousLOL = $ProcessTree.GetEnumerator() | Where-Object {
    $LOLBins -contains ($_.Value.ProcessName -replace '.*\\', '' -replace '\.exe$', '')
}

$SuspiciousLOL | Select-Object @{N='PID';E={$_.Key}}, @{N='Process';E={$_.Value.ProcessName}}, @{N='Parent';E={$_.Value.ParentProcessName}}, @{N='Time';E={$_.Value.TimeCreated}}

Configurez une surveillance automatisée pour détecter les modèles suspects d'Event ID 4111 en temps réel pour une réponse de sécurité proactive.

1. Créez une tâche planifiée pour une surveillance continue :

# Créer un script de surveillance
$MonitorScript = @'
$LastCheck = (Get-Date).AddMinutes(-5)
$SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4111; StartTime=$LastCheck} | Where-Object {
    $_.Message -match "(powershell.*-enc|cmd.*\/c.*del|wscript.*\.vbs|cscript.*\.js)"
}

if ($SuspiciousEvents) {
    $AlertMessage = "Création de processus suspecte détectée : $($SuspiciousEvents.Count) événements"
    Write-EventLog -LogName Application -Source "SecurityMonitor" -EventId 9001 -EntryType Warning -Message $AlertMessage
    # Envoyer un email ou une alerte SIEM ici
}
'@

$MonitorScript | Out-File -FilePath "C:\Scripts\Monitor4111.ps1" -Encoding UTF8

2. Enregistrez le script de surveillance en tant que tâche planifiée :

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\Monitor4111.ps1"
$Trigger = New-ScheduledTaskTrigger -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration (New-TimeSpan -Days 365) -At (Get-Date)
$Settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries

Register-ScheduledTask -TaskName "Monitor-Event4111" -Action $Action -Trigger $Trigger -Settings $Settings -User "SYSTEM"

3. Configurez le transfert d'événements Windows pour une collecte centralisée :

# Sur le serveur collecteur
wecutil cs subscription.xml

# Créer subscription.xml avec filtre Event ID 4111
$SubscriptionXML = @'
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>ProcessCreation4111</SubscriptionId>
    <Description>Collecter Event ID 4111 des ordinateurs du domaine</Description>
    <Query>
        <Select Path="Security">*[System[EventID=4111]]</Select>
    </Query>
</Subscription>
'@

4. Configurez une traçabilité personnalisée avec Windows Performance Toolkit (WPT) pour une analyse avancée :

# Créer une session ETW personnalisée pour la création de processus
logman create trace ProcessCreationTrace -p Microsoft-Windows-Kernel-Process -o C:\Logs\ProcessTrace.etl -ets

# Arrêter la traçabilité après la période de collecte
logman stop ProcessCreationTrace -ets