Surveiller l'activité Windows
Windows stocke des enregistrements détaillés de l'activité du système, des applications et de la sécurité dans l'Observateur d'événements.
Journaux d'événements clés
- Journal Application : Événements enregistrés par les applications (ex : erreur d'application).
- Journal Sécurité : Contient des enregistrements d'audit liés à l'authentification (connexions/déconnexions) et à l'accès aux objets (ouverture/modification de fichiers).
- Journal Système : Événements enregistrés par les composants de l'OS Windows (ex : défaillances de pilotes, événements de démarrage).
Événements critiques à surveiller (Journal Sécurité)
| ID d'événement | Description |
|---|---|
| 4624 | Session ouverte avec succès. |
| 4625 | Échec de l'ouverture de session (indique souvent une force brute). |
| 4720 | Un nouveau compte utilisateur a été créé. |
| 4732/4733 | Modification de l'appartenance à un groupe de sécurité (indicateur d'élévation de privilèges). |
Pour la surveillance de sécurité, ces journaux sont transférés au système SIEM pour analyse.