Qu'est-ce que la Supervision de Sécurité Active Directory ?
Active Directory est l'infrastructure la plus ciblée dans les environnements d'entreprise — pourtant c'est aussi l'une des moins surveillées. La plupart des organisations génèrent des événements Windows Security depuis les Contrôleurs de Domaine mais manquent de la corrélation, des alertes et de l'analyse de baseline nécessaires pour détecter les attaques en cours.
La supervision de sécurité AD ne consiste pas à collecter des logs — il s'agit de savoir quels événements comptent, à quoi ressemble la normalité, et quand quelque chose dévie.
Comment ca Fonctionne
L'audit de sécurité Windows est contrôlé par les paramètres de Politique d'Audit Avancée déployés via GPO. Par défaut, la plupart des catégories d'audit ne sont pas activées ou sont configurées à un niveau minimum qui manque les événements critiques.
Le pipeline d'audit :
- La Politique d'Audit Avancée active la génération d'événements pour des catégories d'activité spécifiques
- Le Journal d'Événements Windows stocke les événements localement
- WEF (Windows Event Forwarding) ou un agent SIEM achemine les événements vers un point de collecte central
- Les règles de corrélation SIEM détectent les patterns et déclenchent des alertes
Ce qui Passe Inaperçu Sans Supervision
DCSync — Pas de Politique d'Audit
Sans Audit Directory Service Access activé, l'événement 4662 ne se déclenche jamais. Un DCSync complet dumping tous les hashes du domaine ne laisse aucune trace dans le log Security.
Golden Ticket — Pas de Détection d'Anomalie
L'événement 4768 se déclenche pour chaque demande TGT — mais sans établir une base de référence du trafic Kerberos normal, un ticket forgé avec une durée de vie de 10 ans et un nom d'utilisateur inexistant se fond parmi des milliers de demandes légitimes.
Détection
Configuration Essentielle de la Politique d'Audit
Déployer via GPO : Configuration Ordinateur > Paramètres Windows > Paramètres de Sécurité > Configuration avancée de la politique d'audit
| Catégorie | Sous-catégorie | Paramètre | Événements Clés |
|---|---|---|---|
| Ouverture de session compte | Authentification Kerberos | Succès/Échec | 4768, 4769, 4771 |
| Gestion des comptes | Gestion des comptes utilisateur/groupe | Succès/Échec | 4720, 4728, 4732, 4738 |
| Accès DS | Accès au Service d'Annuaire | Succès | 4662 |
| Accès DS | Modifications du Service d'Annuaire | Succès | 5136, 5137, 5141 |
| Ouverture/Fermeture de session | Ouverture de session | Succès/Échec | 4624, 4625, 4648 |
| Utilisation des privilèges | Utilisation des privilèges sensibles | Succès | 4672 |
| Accès aux objets | Services de certification | Succès/Échec | 4886, 4887 |
Référence des Event IDs Critiques
| Event ID | Priorité d'Alerte | Ce qu'il Détecte |
|---|---|---|
| 4662 | CRITIQUE | DCSync, abus des droits de réplication |
| 4768 | HAUTE | Golden Ticket (attributs anormaux) |
| 4769 | HAUTE | Kerberoasting (chiffrement RC4) |
| 4728/4756 | CRITIQUE | Changement d'appartenance au groupe privilégié |
| 4720 | HAUTE | Nouveau compte créé |
| 5136 | HAUTE | GPO ou objet AD modifié |
| 4887 | HAUTE | Certificat émis — abus ADCS |
Requetes SIEM (Elastic KQL)
Détection DCSync :
event.code: "4662" AND
winlog.event_data.Properties: ("*1131f6ad*" OR "*1131f6aa*") AND
NOT winlog.event_data.SubjectUserName: ("*$")
Détection Kerberoasting :
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
Changement de groupe privilégié :
event.code: ("4728" OR "4732" OR "4756") AND
winlog.event_data.TargetUserName: ("Domain Admins" OR "Enterprise Admins" OR "Schema Admins")
💡 Conseil : Commencez avec 5-10 détections de haute confiance et faible bruit plutôt que d'activer toutes les alertes possibles.
Remédiation
💡 Action Rapide : Activez
Audit Directory Service ChangesetAudit Directory Service Accesssur tous les Contrôleurs de Domaine immédiatement. Ces deux sous-catégories détectent la majorité des attaques AD critiques.
1. Déployer la Politique d'Audit Avancée via GPO
auditpol /set /subcategory:"Directory Service Changes" /success:enable
auditpol /set /subcategory:"Directory Service Access" /success:enable
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
auditpol /set /subcategory:"Kerberos Service Ticket Operations" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable
auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable
2. Augmenter la Taille du Log Security
# Définir le log Security à 1 Go avec archivage automatique
wevtutil sl Security /ms:1073741824 /rt:false /ab:true
3. Implémenter Windows Event Forwarding
# Sur le collecteur
winrm quickconfig
wecutil cs subscription.xml
Comment EtcSec Détecte Cela
EtcSec vérifie votre configuration de politique d'audit lors de chaque scan AD, identifiant les lacunes qui laisseraient les attaques critiques non détectées.
Les vérifications liées à la supervision signalent les Contrôleurs de Domaine avec une couverture de politique d'audit insuffisante, la configuration de transfert de logs manquante, et les tailles de log Security trop petites.
ℹ️ Note : EtcSec audite votre posture de supervision de sécurité aux côtés de votre configuration AD. Lancez un audit gratuit pour voir quelles attaques votre journalisation actuelle manquerait.
Articles connexes : Golden Ticket | Abus ACL et DCSync
