Qu'est-ce que la supervision securite AD ?
La supervision securite AD regroupe la politique d'audit, la collecte de logs, la correlation et les baselines necessaires pour detecter les attaques sur les controleurs de domaine et les identites privilegiees. Active Directory est l'infrastructure la plus ciblée dans les environnements d'entreprise — pourtant c'est aussi l'une des moins surveillées. La plupart des organisations génèrent des événements Windows Security depuis les Contrôleurs de Domaine mais manquent de la corrélation, des alertes et de l'analyse de baseline nécessaires pour détecter les attaques en cours.
La supervision de sécurité AD ne consiste pas à collecter des logs — il s'agit de savoir quels événements comptent, à quoi ressemble la normalité, et quand quelque chose dévie.
Comment ca Fonctionne
L'audit de sécurité Windows est contrôlé par les paramètres de Politique d'Audit Avancée déployés via GPO. Par défaut, la plupart des catégories d'audit ne sont pas activées ou sont configurées à un niveau minimum qui manque les événements critiques.
Le pipeline d'audit :
- La Politique d'Audit Avancée active la génération d'événements pour des catégories d'activité spécifiques
- Le Journal d'Événements Windows stocke les événements localement
- WEF (Windows Event Forwarding) ou un agent SIEM achemine les événements vers un point de collecte central
- Les règles de corrélation SIEM détectent les patterns et déclenchent des alertes
Ce qui Passe Inaperçu Sans Supervision
DCSync — Pas de Politique d'Audit
Sans Audit Directory Service Access activé, l'événement 4662 ne se déclenche jamais. Un DCSync complet dumping tous les hashes du domaine ne laisse aucune trace dans le log Security.
Golden Ticket — Pas de Détection d'Anomalie
L'événement 4768 se déclenche pour chaque demande TGT — mais sans établir une base de référence du trafic Kerberos normal, un ticket forgé avec une durée de vie de 10 ans et un nom d'utilisateur inexistant se fond parmi des milliers de demandes légitimes.
Détection
Configuration Essentielle de la Politique d'Audit
Déployer via GPO : Configuration Ordinateur > Paramètres Windows > Paramètres de Sécurité > Configuration avancée de la politique d'audit
| Catégorie | Sous-catégorie | Paramètre | Événements Clés |
|---|---|---|---|
| Ouverture de session compte | Authentification Kerberos | Succès/Échec | 4768, 4769, 4771 |
| Gestion des comptes | Gestion des comptes utilisateur/groupe | Succès/Échec | 4720, 4728, 4732, 4738 |
| Accès DS | Accès au Service d'Annuaire | Succès | 4662 |
| Accès DS | Modifications du Service d'Annuaire | Succès | 5136, 5137, 5141 |
| Ouverture/Fermeture de session | Ouverture de session | Succès/Échec | 4624, 4625, 4648 |
| Utilisation des privilèges | Utilisation des privilèges sensibles | Succès | 4672 |
| Accès aux objets | Services de certification | Succès/Échec | 4886, 4887 |
Référence des Event IDs Critiques
| Event ID | Priorité d'Alerte | Ce qu'il Détecte |
|---|---|---|
| 4662 | CRITIQUE | DCSync, abus des droits de réplication |
| 4768 | HAUTE | Golden Ticket (attributs anormaux) |
| 4769 | HAUTE | Kerberoasting (chiffrement RC4) |
| 4728/4756 | CRITIQUE | Changement d'appartenance au groupe privilégié |
| 4720 | HAUTE | Nouveau compte créé |
| 5136 | HAUTE | GPO ou objet AD modifié |
| 4887 | HAUTE | Certificat émis — abus ADCS |
Requetes SIEM (Elastic KQL)
Détection DCSync :
event.code: "4662" AND
winlog.event_data.Properties: ("*1131f6ad*" OR "*1131f6aa*") AND
NOT winlog.event_data.SubjectUserName: ("*$")
Détection Kerberoasting :
event.code: "4769" AND
winlog.event_data.TicketEncryptionType: "0x17" AND
NOT winlog.event_data.ServiceName: ("krbtgt" OR "*$")
Changement de groupe privilégié :
event.code: ("4728" OR "4732" OR "4756") AND
winlog.event_data.TargetUserName: ("Domain Admins" OR "Enterprise Admins" OR "Schema Admins")
💡 Conseil : Commencez avec 5-10 détections de haute confiance et faible bruit plutôt que d'activer toutes les alertes possibles.
Remédiation
💡 Action Rapide : Activez
Audit Directory Service ChangesetAudit Directory Service Accesssur tous les Contrôleurs de Domaine immédiatement. Ces deux sous-catégories détectent la majorité des attaques AD critiques.
1. Déployer la Politique d'Audit Avancée via GPO
auditpol /set /subcategory:"Directory Service Changes" /success:enable
auditpol /set /subcategory:"Directory Service Access" /success:enable
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable
auditpol /set /subcategory:"Kerberos Service Ticket Operations" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable
auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable
2. Augmenter la Taille du Log Security
# Définir le log Security à 1 Go avec archivage automatique
wevtutil sl Security /ms:1073741824 /rt:false /ab:true
3. Implémenter Windows Event Forwarding
# Sur le collecteur
winrm quickconfig
wecutil cs subscription.xml
Comment EtcSec Détecte Cela
EtcSec vérifie votre configuration de politique d'audit lors de chaque scan AD, identifiant les lacunes qui laisseraient les attaques critiques non détectées.
Les vérifications liées à la supervision signalent les Contrôleurs de Domaine avec une couverture de politique d'audit insuffisante, la configuration de transfert de logs manquante, et les tailles de log Security trop petites.
ℹ️ Note : EtcSec audite votre posture de supervision de sécurité aux côtés de votre configuration AD. Lancez un audit gratuit pour voir quelles attaques votre journalisation actuelle manquerait.
Articles connexes : Golden Ticket | Abus ACL et DCSync
Priorites de Revue
Supervision de Sécurité Active Directory : Les Événements qui Comptent Vraiment doit etre traite comme une exposition reelle dans votre environnement Active Directory, pas comme un simple parametre isole. La premiere etape consiste a definir le vrai perimetre de revue : quels groupes privilegies, comptes de service, ACL, liens GPO, trusts, delegations, templates de certificats et postes d'administration sont concernes, quelles dependances metier existent, quels privileges sont exposes et quelles exceptions d'urgence ont ete ajoutees avec le temps. Ce cadrage evite une remediation superficielle, car le symptome technique est souvent plus petit que le rayon d'impact operationnel. En documentant le chemin complet entre configuration, privilege et usage reel, l'equipe peut prioriser des changements qui reduisent le risque sans bloquer l'activite.
Controles Adjacents a Revoir
Quand un attaquant arrive dans votre environnement Active Directory, il ne s'arrete presque jamais au premier point faible. Autour de Supervision de Sécurité Active Directory : Les Événements qui Comptent Vraiment, il cherche en general a enchainer avec comptes privilegies obsoletes, imbrication dangereuse de groupes, delegations excessives, politiques de mot de passe faibles et abus d'ACL heritees. Cela signifie que la defense doit revoir non seulement la faiblesse principale, mais aussi toutes les dependances qui transforment un acces initial en persistance ou en escalation. Verifiez quelles identites, quels roles, quelles permissions et quelles hypotheses de confiance peuvent etre reutilises. Si le correctif ferme un seul objet mais laisse intactes les voies adjacentes, le risque reel change peu. Une revue des chaines d'abus est donc indispensable pour obtenir un resultat durable.
Preuves et telemetry a collecter
Une bonne reponse a Supervision de Sécurité Active Directory : Les Événements qui Comptent Vraiment repose sur des preuves que l'ingenierie et la detection peuvent relire ensemble. Collectez Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, changements SYSVOL et activite des certificats, comparez les changements recents avec les fenetres de maintenance attendues et isolez les comptes ou objets qui ont change de comportement sans justification claire. Ces elements doivent permettre de repondre a trois questions simples : quand l'exposition est apparue, qui peut encore l'utiliser, et si des variantes similaires existent ailleurs dans votre environnement Active Directory. La collecte de preuves aide aussi a distinguer une dette technique ancienne d'un usage actif. Cette distinction est essentielle pour choisir le bon niveau d'urgence et la bonne sequence de remediation.
Faiblesses voisines a revoir
Tres peu d'environnements contiennent Supervision de Sécurité Active Directory : Les Événements qui Comptent Vraiment seul. Dans la pratique, la meme zone du tenant ou de l'annuaire contient souvent aussi comptes privilegies obsoletes, imbrication dangereuse de groupes, delegations excessives, politiques de mot de passe faibles et abus d'ACL heritees, et ce sont ces faiblesses voisines qui determinent si l'exposition reste limitee ou devient critique. Revoyez les owners communs, les permissions heritees, les exceptions dupliquees et les raccourcis administratifs qui n'ont jamais ete retires. Verifiez si la meme logique de contournement a ete approuvee a plusieurs endroits, car cela revele souvent une faille de processus plus qu'un bug unique. Cette revue elargie donne une meilleure chance d'eliminer le chemin d'attaque complet.
Ordre de remediation recommande
Pour Supervision de Sécurité Active Directory : Les Événements qui Comptent Vraiment, l'ordre de remediation doit privilegier la reduction de risque avant la perfection. Commencez par fermer les chemins qui augmentent le plus vite le privilege, puis verrouillez les objets ou identites a plus forte valeur, et ensuite seulement traitez les ecarts de hygiene secondaires. Utilisez tiering, nettoyage des delegations, revue ACL, hygiene des comptes de service, revue des permissions GPO et durcissement ADCS comme ensemble de controles cible. Chaque changement doit avoir un owner, une note de rollback et une etape de validation. Cette discipline evite que les programmes de correction s'arretent apres le premier gain technique. Si une refonte complete n'est pas possible tout de suite, formalisez des controles intermediaires et planifiez le travail structurel dans le prochain revue hebdomadaire des privileges et validation mensuelle des controles.
Validation apres chaque changement
Apres toute modification liee a Supervision de Sécurité Active Directory : Les Événements qui Comptent Vraiment, validez le resultat sous deux angles : administration legitime et chemin d'attaque. Confirmez que les utilisateurs et systemes attendus continuent de fonctionner, puis prouvez que la voie dangereuse ne donne plus le meme levier. Rejouez la collecte sur Event IDs 4624, 4662, 4670, 4688, 4728, 4732, 4768, 4769, 5136, changements SYSVOL et activite des certificats, relisez les approbations et verifiez qu'aucun objet voisin ne conserve une voie de contournement. La validation doit aussi inclure une definition ecrite du succes, afin que tout le monde sache ce qui constitue une fermeture acceptable. Dans les equipes matures, un correctif n'est accepte que lorsque le chemin risque est ferme et que l'etat final correspond vraiment a l'objectif de durcissement.
Lectures Connexes
Pour traiter ce sujet correctement, reliez-le a Mauvaises Configurations GPO : Vecteur d'Attaque AD, Mots de Passe AD : Erreurs de Configuration Critiques, Attaques NTLM Relay : Détection et Prévention, Chemins d'Attaque AD : Mauvaises Configurations en Chaîne et Comptes Obsolètes et Sur-Privilégiés dans AD. Cet ensemble montre comment les memes erreurs d'identite, de privileges et de configuration se combinent dans une revue reelle au lieu d'apparaitre comme des constats isoles.
- Mauvaises Configurations GPO : Vecteur d'Attaque AD
- Mots de Passe AD : Erreurs de Configuration Critiques
- Attaques NTLM Relay : Détection et Prévention
- Chemins d'Attaque AD : Mauvaises Configurations en Chaîne
- Comptes Obsolètes et Sur-Privilégiés dans AD
Ces liens internes gardent la remediaton centree sur le chemin d'attaque complet et pas seulement sur un controle pris separement.
Questions a Trancher Avant la Validation Finale
Avant qu'une equipe considere un sujet identite comme vraiment traite, elle devrait pouvoir repondre a quelques questions simples avec des preuves concretes. Quel compte, quel groupe ou quel systeme reste aujourd'hui le chemin d'exception le plus sensible ? Quelle dependance operationnelle a empeche une remediation plus complete, et qui a accepte ce risque de facon explicite ? Quel controle compensatoire, quelle regle de supervision ou quelle frequence de revue couvre desormais l'exposition residuelle en production ? Ces questions comptent parce qu'une faiblesse d'identite revient souvent lorsque la note de remediaton est plus forte que la realite d'exploitation. Si l'organisation ne peut pas expliquer clairement le proprietaire, la dependance metier et la prochaine date de revue, le controle n'est generalement pas aussi stable qu'il en a l'air.
Preuves a Conserver pour la Revue Suivante
Les equipes les plus solides conservent juste assez de preuves pour rendre la revue suivante plus rapide et plus fiable. Cela inclut en general le proprietaire actuel de l'actif concerne, le changement de configuration exact qui a reduit le risque, la liste des exceptions encore acceptees et la preuve technique montrant que le nouvel etat est bien applique en production. Cette discipline est utile parce que les problemes d'identite et de privilege ne sont presque jamais des decouvertes uniques. Ils reviennent plutot via le turnover administrateur, la derive applicative ou des dependances historiques mal comprises au premier passage. En documentant a la fois la correction et la raison pour laquelle elle a ete acceptee, les equipes reduisent le risque de refaire la meme analyse a chaque cycle ou de reintroduire la meme faiblesse en corrigeant un autre sujet operationnel.
