ID d'événement Windows 4647 – Microsoft-Windows-Security-Auditing : Déconnexion initiée par l'utilisateur

Commencez par examiner les détails de l'événement pour comprendre le contexte de déconnexion et les informations de l'utilisateur.

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4647 en cliquant avec le bouton droit sur le journal Sécurité et en sélectionnant Filtrer le journal actuel
4. Entrez 4647 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4647 pour voir des informations détaillées, y compris :
   • Sujet : Compte utilisateur qui a initié la déconnexion
   • ID de connexion : Identifiant unique lié à l'événement de connexion original
   • Type de connexion : Méthode utilisée pour la connexion originale (2=Interactive, 3=Réseau, 10=RemoteInteractive)
6. Notez l'horodatage et corrélez avec tout incident de sécurité ou rapport d'utilisateur

Utilisez PowerShell pour interroger et analyser efficacement les occurrences de l'ID d'événement 4647 sur des périodes spécifiques.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements de déconnexion récents avec un filtrage de base :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4647} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Filtrez les événements pour des utilisateurs ou des périodes spécifiques :

   # Filtrer par utilisateur spécifique
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4647; StartTime=(Get-Date).AddDays(-7)}
   $Events | Where-Object {$_.Message -like "*username*"} | Format-List TimeCreated, Message

4. Extraire des informations détaillées des propriétés de l'événement :

   # Analyser les détails de l'événement
   $LogoffEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4647} -MaxEvents 20
   foreach ($Event in $LogoffEvents) {
       $EventXML = [xml]$Event.ToXml()
       $SubjectUserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
       $LogonId = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'} | Select-Object -ExpandProperty '#text'
       Write-Output "Time: $($Event.TimeCreated) | User: $SubjectUserName | Logon ID: $LogonId"
   }

5. Exporter les résultats pour une analyse plus approfondie :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4647; StartTime=(Get-Date).AddDays(-30)} | Export-Csv -Path "C:\Temp\Logoff_Events.csv" -NoTypeInformation

Associez l'ID d'événement 4647 avec les événements de connexion correspondants pour analyser les modèles de session et identifier les anomalies.

1. Créez un script PowerShell pour corréler les événements de connexion (4624) et de déconnexion (4647) :

   # Obtenez les événements de connexion et de déconnexion des dernières 24 heures
   $StartTime = (Get-Date).AddDays(-1)
   $LogonEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624; StartTime=$StartTime}
   $LogoffEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4647; StartTime=$StartTime}
   
   # Créez un tableau de corrélation
   $SessionData = @()
   foreach ($LogoffEvent in $LogoffEvents) {
       $LogoffXML = [xml]$LogoffEvent.ToXml()
       $LogonId = $LogoffXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'} | Select-Object -ExpandProperty '#text'
       $UserName = $LogoffXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
       
       # Trouvez l'événement de connexion correspondant
       $MatchingLogon = $LogonEvents | Where-Object {
           $LogonXML = [xml]$_.ToXml()
           $LogonLogonId = $LogonXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectLogonId'} | Select-Object -ExpandProperty '#text'
           $LogonLogonId -eq $LogonId
       } | Select-Object -First 1
       
       if ($MatchingLogon) {
           $SessionDuration = $LogoffEvent.TimeCreated - $MatchingLogon.TimeCreated
           $SessionData += [PSCustomObject]@{
               User = $UserName
               LogonTime = $MatchingLogon.TimeCreated
               LogoffTime = $LogoffEvent.TimeCreated
               Duration = $SessionDuration.ToString()
               LogonId = $LogonId
           }
       }
   }
   
   $SessionData | Format-Table -AutoSize

2. Identifiez les modèles de session inhabituels tels que les sessions très courtes ou très longues
3. Cherchez des événements de déconnexion sans événements de connexion correspondants, ce qui pourrait indiquer une falsification des journaux

Assurez-vous de configurer correctement la politique d'audit pour capturer tous les événements de déconnexion pertinents et optimiser les paramètres de journalisation.

1. Vérifiez les paramètres actuels de la politique d'audit :

   auditpol /get /category:"Logon/Logoff"

2. Activez l'audit détaillé des connexions/déconnexions si ce n'est pas déjà configuré :

   # Activer l'audit de déconnexion
   auditpol /set /subcategory:"Logoff" /success:enable /failure:enable
   
   # Vérifier le paramètre
   auditpol /get /subcategory:"Logoff"

3. Configurez la stratégie de groupe pour les environnements d'entreprise :
   • Ouvrez Group Policy Management Console
   • Accédez à Configuration de l'ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la politique d'audit
   • Développez Politiques d'audit → Logon/Logoff
   • Configurez Audit Logoff sur Succès et Échec
4. Définissez la taille du journal de sécurité pour accueillir l'augmentation de la journalisation :

   # Augmenter la taille du journal de sécurité à 100 Mo
   wevtutil sl Security /ms:104857600

5. Configurez la politique de rétention des journaux dans le registre :

   # Définir la rétention des journaux (1 = écraser si nécessaire, 0 = écraser les événements plus anciens que X jours)
   Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "Retention" -Value 0
   Set-ItemProperty -Path "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" -Name "AutoBackupLogFiles" -Value 1

Configurez la surveillance automatisée pour l'ID d'événement 4647 afin de détecter des modèles de déconnexion inhabituels ou des incidents de sécurité.

1. Créez un script PowerShell pour une surveillance continue :

   # Monitor-LogoffEvents.ps1
   param(
       [int]$CheckIntervalMinutes = 5,
       [string]$LogPath = "C:\Logs\LogoffMonitoring.log"
   )
   
   $LastCheck = (Get-Date).AddMinutes(-$CheckIntervalMinutes)
   
   while ($true) {
       $NewLogoffs = Get-WinEvent -FilterHashtable @{
           LogName='Security'
           Id=4647
           StartTime=$LastCheck
       } -ErrorAction SilentlyContinue
       
       foreach ($Event in $NewLogoffs) {
           $EventXML = [xml]$Event.ToXml()
           $UserName = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
           $Domain = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectDomainName'} | Select-Object -ExpandProperty '#text'
           
           $LogEntry = "$(Get-Date): User logoff detected - $Domain\$UserName at $($Event.TimeCreated)"
           Add-Content -Path $LogPath -Value $LogEntry
           
           # Add alerting logic here (email, SIEM integration, etc.)
           # Example: Send alert for after-hours logoffs
           $Hour = $Event.TimeCreated.Hour
           if ($Hour -lt 6 -or $Hour -gt 22) {
               Write-Warning "After-hours logoff detected: $Domain\$UserName"
           }
       }
       
       $LastCheck = Get-Date
       Start-Sleep -Seconds ($CheckIntervalMinutes * 60)
   }

2. Planifiez le script de surveillance en tant que service Windows ou tâche planifiée
3. Configurez le transfert d'événements Windows (WEF) pour la journalisation centralisée :
   • Configurez un serveur collecteur d'événements Windows
   • Configurez les ordinateurs sources pour transférer l'ID d'événement 4647
   • Créez des vues et abonnements personnalisés pour les événements de déconnexion
4. Intégrez avec des solutions SIEM en utilisant le transfert de journal d'événements Windows ou des agents
5. Configurez des tâches personnalisées dans le Visualiseur d'événements pour déclencher sur l'ID d'événement 4647 :
   • Dans le Visualiseur d'événements, cliquez avec le bouton droit sur un événement 4647
   • Sélectionnez Attacher une tâche à cet événement
   • Configurez des réponses automatisées telles que l'exécution de scripts ou l'envoi de notifications