{"id":14153,"date":"2025-10-06T10:20:42","date_gmt":"2025-10-06T08:20:42","guid":{"rendered":"https:\/\/www.vaadata.com\/blog\/?p=14153"},"modified":"2025-10-06T10:22:29","modified_gmt":"2025-10-06T08:22:29","slug":"monitoring-active-directory-analyse-logs-ldap-et-regles-elk","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/monitoring-active-directory-analyse-logs-ldap-et-regles-elk\/","title":{"rendered":"Monitoring Active Directory : analyse logs LDAP et r\u00e8gles ELK"},"content":{"rendered":"<div class=\"wp-block-image\">\n<figure class=\"alignright size-large is-resized\"><img decoding=\"async\" width=\"1024\" height=\"535\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/monitoring-active-directory-1024x535.png\" alt=\"Monitoring Active Directory : guide pratique pour les Blue Teams\" class=\"wp-image-14154\" style=\"width:438px;height:auto\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/monitoring-active-directory-1024x535.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/monitoring-active-directory-300x157.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/monitoring-active-directory-1536x803.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n<\/div>\n\n\n<p>Active Directory (AD) est un service d\u2019annuaire d\u00e9velopp\u00e9 par Microsoft. <\/p>\n\n\n\n<p>Il est utilis\u00e9 par la majorit\u00e9 des entreprises pour g\u00e9rer les identit\u00e9s, les comptes utilisateurs, les machines, les politiques de s\u00e9curit\u00e9 ainsi que les droits d\u2019acc\u00e8s aux ressources et services.<\/p>\n\n\n\n<!--more-->\n\n\n\n<p>Cependant, sa position strat\u00e9gique en fait une cible de choix pour les attaquants et les \u00e9quipes Red Team. En effet, une compromission de l\u2019Active Directory offre en g\u00e9n\u00e9ral un acc\u00e8s quasi illimit\u00e9 au r\u00e9seau. De fait, il est souvent soumis \u00e0 de nombreuses attaques notamment en raison de la n\u00e9gligence des entreprises sur la mise en place de mesures de durcissement. <\/p>\n\n\n\n<p>Notons par ailleurs que par d\u00e9faut, apr\u00e8s installation et d\u00e9ploiement, un AD offre tr\u00e8s peu, voire aucune protection. \u00c0 titre d\u2019exemple, ce n\u2019est que tr\u00e8s r\u00e9cemment que Microsoft a d\u00e9cid\u00e9 d\u2019enforcer par d\u00e9faut des m\u00e9canismes de s\u00e9curit\u00e9 comme le SMB Signing pour les machines avec Windows 11, ainsi que le LDAP Signing pour Windows Server 2025.<\/p>\n\n\n\n<p>Dans ce contexte, il est essentiel de mettre en place une surveillance accrue, coupl\u00e9e \u00e0 des r\u00e8gles de d\u00e9tections personnalis\u00e9es afin d\u2019identifier rapidement les comportements suspects pour pouvoir r\u00e9agir avant qu\u2019ils ne se transforment en incidents majeurs de s\u00e9curit\u00e9.<\/p>\n\n\n\n<p>Dans cet article, nous passerons en revue les menaces qui p\u00e8sent sur Active Directory ainsi que les techniques et tactiques Red Team. Nous d\u00e9taillerons \u00e9galement les bonnes pratiques de monitoring AD afin de vous permettre de prioriser la collecte de logs, d\u2019identifier les \u00ab signaux faibles \u00bb et de transformer ces signaux en r\u00e8gles de d\u00e9tection.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-guide-pratique-sur-le-monitoring-dactive-directory\">Guide pratique sur le monitoring d&rsquo;Active Directory<\/h2>\n\n\n<div class=\"wp-block-aioseo-table-of-contents\"><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-comprendre-les-menaces-sur-lad-et-les-tactiques-red-team\">Comprendre les menaces sur l\u2019AD et les tactiques Red Team<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-principales-techniques-ciblant-active-directory\">Principales techniques ciblant Active Directory<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-objectifs-des-attaquants-et-dune-red-team\">Objectifs des attaquants et d\u2019une Red Team<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-quels-indicateurs-doivent-guider-le-monitoring-ad\">Quels indicateurs doivent guider le monitoring AD ?<\/a><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-surveillance-du-trafic-ldap\">Surveillance du trafic LDAP<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-presentation-de-notre-environnement-active-directory\">Pr\u00e9sentation de notre environnement Active Directory<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-politique-daudit-des-controleurs-de-domaine\">Politique d\u2019audit des contr\u00f4leurs de domaine<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-creation-et-configuration\">Cr\u00e9ation et configuration<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-visualisation-des-evenements\">Visualisation des \u00e9v\u00e9nements<\/a><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-activer-la-surveillance-du-trafic-ntlm\">Activer la surveillance du trafic NTLM<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-audit-de-securite-des-objets-du-domaine\">Audit de s\u00e9curit\u00e9 des objets du domaine<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-mettre-en-place-une-sacls-au-niveau-du-domaine\">Mettre en place une SACLs au niveau du domaine<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-implementer-une-surveillance-ldap-etendue\">Impl\u00e9menter une surveillance LDAP \u00e9tendue<\/a><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-politique-daudit-des-machines-du-domaine\">Politique d\u2019audit des machines du domaine (Client-Side Monitoring)<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-surveillance-par-le-reseau\">Surveillance par le r\u00e9seau<\/a><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-creer-des-regles-personnalisees-pour-elk\">Cr\u00e9er des r\u00e8gles personnalis\u00e9es pour ELK<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-honeypot-asreproasting\">Honeypot ASREProasting<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-honeypot-kerberoasting\">Honeypot Kerberoasting<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-detection-bloodhound-smb\">D\u00e9tection BloodHound via SMB (IPC$ &amp; named pipes)<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-detection-bloodhound-ldap\">D\u00e9tection BloodHound via LDAP<\/a><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-conclusion\">Conclusion<\/a><\/li><\/ul><\/div>\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-comprendre-les-menaces-sur-lad-et-les-tactiques-red-team\">Comprendre les menaces sur l\u2019AD et les tactiques Red Team<\/h2>\n\n\n\n<p>Les <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/red-teaming-objectifs-methodologie-et-perimetre-dune-mission-red-team\/\" target=\"_blank\" rel=\"noopener\" title=\"\">exercices Red Team<\/a> et les attaques r\u00e9elles contre Active Directory suivent presque toujours une m\u00eame logique : reconnaissance, collecte d\u2019identifiants, exploitation et persistance.<\/p>\n\n\n\n<p>Comprendre ces \u00e9tapes et les techniques associ\u00e9es est indispensable pour prioriser la collecte de donn\u00e9es, d\u00e9finir des seuils d\u2019alerte pertinents et transformer des \u00ab bruits \u00bb en signaux actionnables.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-4ae272bd830978fee8f096d9752bfbe9\" id=\"aioseo-principales-techniques-ciblant-active-directory\" style=\"color:#c0b800\">Principales techniques ciblant Active Directory<\/h3>\n\n\n\n<p>Les techniques ciblant l\u2019AD vont de l\u2019\u00e9num\u00e9ration passive \u00e0 des actions plus intrusives sur les contr\u00f4leurs de domaine.<\/p>\n\n\n\n<p>Parmi les plus courantes on trouve l\u2019\u00e9num\u00e9ration massive des comptes et des relations (souvent automatis\u00e9e via des outils de cartographie comme <a href=\"https:\/\/bloodhound.specterops.io\/get-started\/introduction\" target=\"_blank\" rel=\"noopener\" title=\"\">BloodHound<\/a>), les attaques sur Kerberos comme le Kerberoasting ou l\u2019abus d\u2019AS-REP pour comptes sans pr\u00e9-authentification, les tentatives de r\u00e9plication ou d\u2019exfiltration via les API de r\u00e9plication (DRSUAPI\/DCSync) et les manipulations d\u2019ACL\/GPO pour gagner la persistance.<\/p>\n\n\n\n<p>\u00c0 ces techniques s\u2019ajoutent des m\u00e9thodes de r\u00e9utilisation d\u2019identifiants (pass-the-hash, NTLM relay) et la production ou manipulation de tickets Kerberos (Silver\/Golden Tickets) pour contourner l\u2019authentification normale.<\/p>\n\n\n\n<p>Enfin, les attaques modernes combinent souvent plusieurs \u00e9tapes : une reconnaissance LDAP\/SMB pour construire un graphe d\u2019attaque, suivie d\u2019un ciblage pr\u00e9cis de comptes de service ou d\u2019objets sensibles.<\/p>\n\n\n\n<p>L\u2019int\u00e9r\u00eat pour une \u00e9quipe s\u00e9curit\u00e9 est de reconna\u00eetre les signatures comportementales de ces techniques. Ce ne sont pas des patterns isol\u00e9s mais des cha\u00eenes d\u2019\u00e9v\u00e9nements (pics d\u2019\u00e9num\u00e9ration, requ\u00eates Kerberos anormales, acc\u00e8s r\u00e9p\u00e9t\u00e9s \u00e0 des objets sensibles, modifications d\u2019ACL) qui, prises ensemble, font sens.<\/p>\n\n\n\n<p>Nous ne nous \u00e9tendrons pas ici sur ces diff\u00e9rentes techniques. Pour plus d\u2019informations, nous vous invitons \u00e0 consulter notre article complet sur la <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/securite-active-directory-failles-attaques-et-bonnes-pratiques\/\" target=\"_blank\" rel=\"noopener\" title=\"\">s\u00e9curit\u00e9 Active Directory<\/a>. Dans ce dernier, nous passons en revue les failles et attaques courantes ; ainsi que les d\u00e9fauts de configuration pouvant compromettre la s\u00e9curit\u00e9 d\u2019un AD.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-77d3105434c02394482d4689512d5208\" id=\"aioseo-objectifs-des-attaquants-et-dune-red-team\" style=\"color:#c0b800\">Objectifs des attaquants et d\u2019une Red Team<\/h3>\n\n\n\n<p>Les objectifs poursuivis sont g\u00e9n\u00e9ralement limit\u00e9s \u00e0 quelques finalit\u00e9s : obtenir des privil\u00e8ges \u00e9lev\u00e9s (compromission de comptes administrateurs ou d\u2019un contr\u00f4leur de domaine), \u00e9tablir une persistance discr\u00e8te, et pr\u00e9parer l\u2019exfiltration ou la propagation lat\u00e9rale.<\/p>\n\n\n\n<p>La cadence d\u2019attaque varie : la reconnaissance est souvent \u00ab bruyante \u00bb (\u00e9num\u00e9rations massives, scans LDAP\/SMB sur une fen\u00eatre courte) tandis que les phases de furtivit\u00e9 sont \u00ab&nbsp;silencieuses et lentes&nbsp;\u00bb. Il peut s\u2019agir de tentatives sporadiques de vol de tickets, de changements d\u2019ACL graduels, d\u2019utilisation de comptes compromis \u00e0 horaires d\u00e9cal\u00e9s, etc.<\/p>\n\n\n\n<p>Certaines techniques, comme le <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/kerberoasting-comprendre-lattaque-et-les-mesures-de-protection\/\" target=\"_blank\" rel=\"noopener\" title=\"\">Kerberoasting<\/a>, g\u00e9n\u00e8rent un pic observable de requ\u00eates TGS pour un compte de service ; d\u2019autres, comme DCSync, se manifestent par des actions sp\u00e9cifiques sur les contr\u00f4leurs de domaine et des acc\u00e8s aux interfaces de r\u00e9plication qui ne sont pas courantes en exploitation normale.<\/p>\n\n\n\n<p>Pour la d\u00e9tection, distinguer reconnaissance (volume et patterns) de post-exploitation (changements d\u2019\u00e9tat sur les objets AD, cr\u00e9ation\/modification de comptes, op\u00e9rations de r\u00e9plication) est crucial. La premi\u00e8re alerte souvent sur une tentative d\u2019identification de cibles, la seconde indique une progression vers la compromission r\u00e9elle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-c066b58bfc7090c6b5f8b8f0b05fa416\" id=\"aioseo-quels-indicateurs-doivent-guider-le-monitoring-ad\" style=\"color:#c0b800\">Quels <strong>indicateurs<\/strong> doivent guider le monitoring AD ?<\/h3>\n\n\n\n<p>Plut\u00f4t que d\u2019\u00e9num\u00e9rer des r\u00e8gles techniques isol\u00e9es, il vaut mieux se concentrer sur les signaux corr\u00e9l\u00e9s et sur les donn\u00e9es \u00e0 collecter. Les \u00e9l\u00e9ments \u00e0 surveiller incluent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La volum\u00e9trie et la cadence des requ\u00eates LDAP par source et par cible (des pics ou des requ\u00eates r\u00e9p\u00e9t\u00e9es avec des filtres larges sont typiques d\u2019\u00e9num\u00e9ration) ;<\/li>\n\n\n\n<li>Les anomalies Kerberos : nombre inhabituel de demandes AS\/TGS pour un m\u00eame principal, demandes AS sans pr\u00e9-auth pour des comptes configur\u00e9s sans pr\u00e9-auth, ou un nombre \u00e9lev\u00e9 de tickets demand\u00e9s pour des comptes de service ;<\/li>\n\n\n\n<li>Les \u00e9checs d\u2019authentification r\u00e9p\u00e9t\u00e9s sur comptes sensibles ou en dehors d\u2019horaires d\u2019activit\u00e9 habituels ;<\/li>\n\n\n\n<li>Des acc\u00e8s et op\u00e9rations sur la r\u00e9plication ou les interfaces DRS (actions inhabituelles effectu\u00e9es depuis des comptes non-administrateurs vers des contr\u00f4leurs de domaine) ;<\/li>\n\n\n\n<li>Les modifications d\u2019ACL ou d\u2019objets privil\u00e9gi\u00e9s (cr\u00e9ation\/suppression\/modification de comptes, \u00e9l\u00e9vation de droits sur OUs ou GPO) ;<\/li>\n\n\n\n<li>L\u2019\u00e9mergence soudaine d\u2019activit\u00e9 SMB \/ acc\u00e8s \u00e0 partages sensibles en dehors des patterns connus ;<\/li>\n\n\n\n<li>Les patterns d\u2019outillage : requ\u00eates LDAP tr\u00e8s r\u00e9guli\u00e8res et larges, ou volumes d\u2019\u00e9num\u00e9ration typiques d\u2019outils de cartographie, et le recours inhabituel \u00e0 des comptes de service pour des op\u00e9rations d\u2019\u00e9num\u00e9ration.<\/li>\n<\/ul>\n\n\n\n<p>Concr\u00e8tement, la valeur vient de la corr\u00e9lation : un pic de requ\u00eates LDAP suivi de demandes Kerberos anormales et d\u2019une modification d\u2019ACL sur une OU sensible doit d\u00e9clencher une enqu\u00eate prioritaire. De m\u00eame, des authentifications r\u00e9ussies depuis des lieux\/hosts inhabituels combin\u00e9es \u00e0 des acc\u00e8s \u00e0 des partages d\u2019administration sont des signaux \u00e0 haute criticit\u00e9.<\/p>\n\n\n\n<p>Fort de ce cadrage tactique, la suite de l\u2019article bascule vers la mise en \u0153uvre op\u00e9rationnelle : il s\u2019agit maintenant de traduire les signaux d\u00e9crits pr\u00e9c\u00e9demment en donn\u00e9es pertinentes, politiques d\u2019audit et r\u00e8gles de d\u00e9tection.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-surveillance-du-trafic-ldap\">Surveillance du trafic LDAP<\/h2>\n\n\n\n<p>Dans cette section, nous vous proposons d\u2019accro\u00eetre la s\u00e9curit\u00e9 de votre Active Directory avec la mise en place d\u2019une surveillance accentu\u00e9e du trafic LDAP.<\/p>\n\n\n\n<p>Pour ce faire, nous nous appuierons sur les journaux d&rsquo;\u00e9v\u00e9nements (Event Logs). Voyons cela \u00e9tape par \u00e9tape.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-f30257a28fdfa0648cc66835bb555f43\" id=\"aioseo-presentation-de-notre-environnement-active-directory\" style=\"color:#c0b800\">Pr\u00e9sentation de notre environnement Active Directory<\/h3>\n\n\n\n<p>Le sch\u00e9ma ci-dessous repr\u00e9sente l\u2019environnement Active Directory utilis\u00e9 pour cet article. Il est compos\u00e9 d\u2019un contr\u00f4leur de domaine (DC01) en version Windows Serveur 2025, d\u2019une machine client (WK01) en version Windows 11, d\u2019un serveur Ubuntu h\u00e9bergeant ELK en version 9, ainsi qu\u2019une machine attaquante.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"902\" height=\"732\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ad-environment.png\" alt=\"\" class=\"wp-image-14160\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ad-environment.png 902w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ad-environment-300x243.png 300w\" sizes=\"(max-width: 902px) 100vw, 902px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-dcee29eb12b3660084a4ca9f77c68c63\" id=\"aioseo-politique-daudit-des-controleurs-de-domaine\" style=\"color:#c0b800\">Politique d\u2019audit des contr\u00f4leurs de domaine<\/h3>\n\n\n\n<p>La <strong>\u00ab Domain Controllers Audit Policy \u00bb<\/strong> joue un r\u00f4le essentiel dans la d\u00e9finition et le suivi des \u00e9v\u00e9nements \u00e0 auditer sur les contr\u00f4leurs de domaine. Elle garantit la tra\u00e7abilit\u00e9 des actions sensibles et facilite la d\u00e9tection des activit\u00e9s suspectes.<\/p>\n\n\n\n<p>Parmi ces actions figurent notamment les connexions utilisateurs, les modifications d\u2019objets, les tentatives d\u2019acc\u00e8s non autoris\u00e9es, ainsi que d\u2019autres \u00e9v\u00e9nements critiques.<\/p>\n\n\n\n<p>Chaque action g\u00e9n\u00e8re un <strong>Event ID<\/strong> enregistr\u00e9 dans l\u2019<strong>Event Viewer<\/strong>. Ces journaux peuvent ensuite \u00eatre collect\u00e9s et corr\u00e9l\u00e9s dans un <strong>SIEM<\/strong> (comme ELK), afin de d\u00e9tecter les incidents de s\u00e9curit\u00e9 et de centraliser la g\u00e9n\u00e9ration d\u2019alertes.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"aioseo-creation-et-configuration\">Cr\u00e9ation et configuration<\/h4>\n\n\n\n<p>Pour mettre en place cette politique de s\u00e9curit\u00e9, il est recommand\u00e9 de cr\u00e9er une nouvelle strat\u00e9gie d\u00e9di\u00e9e, appliqu\u00e9e sp\u00e9cifiquement aux contr\u00f4leurs de domaine.<\/p>\n\n\n\n<p>Pour la configurer, il suffit d\u2019acc\u00e9der \u00e0 l\u2019\u00e9diteur de strat\u00e9gie de groupe <strong>(GPO)<\/strong> et d\u2019y d\u00e9finir les param\u00e8tres appropri\u00e9s.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"496\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-1024x496.png\" alt=\"\" class=\"wp-image-14166\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-1024x496.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-300x145.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad.png 1308w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"431\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-1-1024x431.png\" alt=\"\" class=\"wp-image-14168\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-1-1024x431.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-1-300x126.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-1.png 1287w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Une fois la nouvelle politique cr\u00e9\u00e9e, vous pouvez l\u2019\u00e9diter en acc\u00e9dant au chemin suivant :<\/p>\n\n\n\n<p><strong>Computer Configuration &gt; Windows Settings &gt; Security Settings &gt; Advanced Audit Policy Configuration<\/strong><\/p>\n\n\n\n<p>Ce menu propose diff\u00e9rentes cat\u00e9gories d\u2019audit, chacune correspondant \u00e0 un type d\u2019activit\u00e9 sp\u00e9cifique. Par exemple :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Account Logon<\/strong> : permet de surveiller les \u00e9v\u00e9nements li\u00e9s aux tentatives de connexion aux comptes.<\/li>\n\n\n\n<li><strong>Account Management<\/strong> : permet de suivre les \u00e9v\u00e9nements li\u00e9s \u00e0 la cr\u00e9ation, la modification ou la suppression de comptes.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"873\" height=\"824\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-2.png\" alt=\"\" class=\"wp-image-14170\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-2.png 873w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-policy-management-ad-2-300x283.png 300w\" sizes=\"(max-width: 873px) 100vw, 873px\" \/><\/figure>\n\n\n\n<p>La configuration des diff\u00e9rentes cat\u00e9gories d\u2019audit doit \u00eatre adapt\u00e9e aux besoins r\u00e9els en mati\u00e8re de surveillance. Toutefois, gardez \u00e0 l\u2019esprit que plus la configuration est d\u00e9taill\u00e9e et compl\u00e8te, plus elle g\u00e9n\u00e8re d\u2019<strong>Event IDs<\/strong> dans l\u2019<strong>Event Viewer<\/strong>, en fonction de la taille de l\u2019environnement Active Directory.<\/p>\n\n\n\n<p>En parall\u00e8le, cette granularit\u00e9 implique une charge suppl\u00e9mentaire pour le <strong>SIEM<\/strong> (par exemple ELK), qui devra disposer de ressources suffisantes pour traiter et corr\u00e9ler ces donn\u00e9es.<\/p>\n\n\n\n<p>Le tableau ci-dessous pr\u00e9sente la configuration recommand\u00e9e, en pr\u00e9cisant les options <strong>\u00ab Success \u00bb<\/strong> et <strong>\u00ab Failure \u00bb<\/strong> \u00e0 appliquer pour chaque cat\u00e9gorie.<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table class=\"has-fixed-layout\"><thead><tr><th><strong>Politique d\u2019Audit<\/strong><\/th><th><strong>Sous-cat\u00e9gorie<\/strong><\/th><th><strong>ID d\u2019\u00e9v\u00e9nements d\u00e9clench\u00e9s<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Account Logon<\/td><td>Audit Credential Validation<\/td><td>4776<\/td><\/tr><tr><td>Account Management<\/td><td>Audit Computer Account Management<\/td><td>4741, 4743<\/td><\/tr><tr><td>Account Management<\/td><td>Audit Distribution Group Management<\/td><td>4753, 4763<\/td><\/tr><tr><td>Account Management<\/td><td>Audit Security Group Management<\/td><td>4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758<\/td><\/tr><tr><td>Account Management<\/td><td>Audit User Account Management<\/td><td>4726<\/td><\/tr><tr><td>DS Access<\/td><td>Audit Directory Service Changes<\/td><td>5136<\/td><\/tr><tr><td>DS Access<\/td><td>Audit Directory Service Access<\/td><td><em>4662 + (n\u00e9cessite une configuration suppl\u00e9mentaire)<\/em><\/td><\/tr><tr><td>System<\/td><td>Audit Security System Extension<\/td><td>7045<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Pour illustrer, prenons la sous-cat\u00e9gorie <strong>Audit Credential Validation<\/strong> (sous <strong>Account Logon<\/strong>).<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Double-cliquez sur <strong>Audit Credential Validation<\/strong>.<\/li>\n\n\n\n<li>S\u00e9lectionnez <strong>Configure the following audit events<\/strong>.<\/li>\n\n\n\n<li>Activez les options pour les \u00e9v\u00e9nements <strong>Success<\/strong> et <strong>Failure<\/strong>.<\/li>\n<\/ol>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"481\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/configuring-audit-credential-validation-1024x481.png\" alt=\"\" class=\"wp-image-14175\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/configuring-audit-credential-validation-1024x481.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/configuring-audit-credential-validation-300x141.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/configuring-audit-credential-validation.png 1135w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"aioseo-visualisation-des-evenements\">Visualisation des \u00e9v\u00e9nements<\/h4>\n\n\n\n<p>Les Event IDs g\u00e9n\u00e9r\u00e9s peuvent ensuite \u00eatre consult\u00e9s dans :<br><strong>Event Viewer &gt; Windows Logs &gt; Security<\/strong>.<\/p>\n\n\n\n<p>Par exemple, l\u2019illustration ci-dessous montre l\u2019apparition de l\u2019<strong>Event ID 4720<\/strong>, correspondant \u00e0 la cr\u00e9ation d\u2019un utilisateur nomm\u00e9 <em>\u00ab <\/em>martin<em> \u00bb<\/em> par l\u2019administrateur du domaine dans l\u2019environnement <strong>Active Directory<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"573\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-ad-1024x573.png\" alt=\"\" class=\"wp-image-14177\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-ad-1024x573.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-ad-300x168.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-ad.png 1138w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-babde18f35ceab75214ff7d1ed351e5b\" id=\"aioseo-activer-la-surveillance-du-trafic-ntlm\" style=\"color:#c0b800\">Activer la surveillance du trafic NTLM<\/h3>\n\n\n\n<p>En compl\u00e9ment de la politique d\u2019audit appliqu\u00e9e aux contr\u00f4leurs de domaine, il est essentiel de surveiller le trafic NTLM afin de d\u00e9tecter toute utilisation suspecte de ce protocole d\u2019authentification.<\/p>\n\n\n\n<p>De tels \u00e9v\u00e9nements peuvent r\u00e9v\u00e9ler :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>des tentatives d\u2019<strong><a href=\"https:\/\/www.vaadata.com\/blog\/fr\/authentification-ntlm-principes-fonctionnement-et-attaques-ntlm-relay\/\" target=\"_blank\" rel=\"noopener\" title=\"\">attaque par relais NTLM<\/a><\/strong>,<\/li>\n\n\n\n<li>ou des mauvaises configurations autorisant l\u2019usage de NTLM dans des environnements o\u00f9 <strong><a href=\"https:\/\/www.vaadata.com\/blog\/fr\/authentification-kerberos-principes-et-fonctionnement\/\" target=\"_blank\" rel=\"noopener\" title=\"\">Kerberos<\/a><\/strong> devrait \u00eatre privil\u00e9gi\u00e9.<\/li>\n<\/ul>\n\n\n\n<p>Pour activer cette surveillance, ouvrez la politique cr\u00e9\u00e9e pr\u00e9c\u00e9demment, puis acc\u00e9dez au chemin suivant :<\/p>\n\n\n\n<p><strong>Computer Configuration &gt; Policies &gt; Windows Settings &gt; Security Settings &gt; Local Policies &gt; Security Options<\/strong><\/p>\n\n\n\n<p>La configuration recommand\u00e9e est pr\u00e9sent\u00e9e ci-dessous.<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><thead><tr><th><strong>Param\u00e8tres de la politique de s\u00e9curit\u00e9<\/strong><\/th><th>Valeur<\/th><\/tr><\/thead><tbody><tr><td>Network security&nbsp;: Restrict NTLM&nbsp;: Outgoing NTLM traffic to remote servers<\/td><td>Audit all<\/td><\/tr><tr><td>Network security&nbsp;: Restrict NTLM&nbsp;: Audit NTLM authentication in this domain<\/td><td>Enable all<\/td><\/tr><tr><td>Network security&nbsp;: Restrict NTLM&nbsp;: Audit Incoming NTLM traffic<\/td><td>Enable auditing for all accounts<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"511\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring-1024x511.png\" alt=\"\" class=\"wp-image-14181\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring-1024x511.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring-300x150.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring.png 1133w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s avoir appliqu\u00e9 cette configuration, les \u00e9v\u00e9nements g\u00e9n\u00e9r\u00e9s peuvent \u00eatre consult\u00e9s dans : <strong>Event Viewer &gt; Applications and Services Logs &gt; Microsoft &gt; Windows &gt; NTLM<\/strong>.<\/p>\n\n\n\n<p>Il est toutefois important de noter que les \u00e9v\u00e9nements issus de l\u2019audit NTLM <strong>ne fournissent ni l\u2019identit\u00e9 de l\u2019utilisateur, ni l\u2019origine de la machine<\/strong> ayant utilis\u00e9 le protocole LDAP.<\/p>\n\n\n\n<p>Pour obtenir ces informations, il est n\u00e9cessaire de corr\u00e9ler avec les <strong>Event IDs 4776<\/strong> de la cat\u00e9gorie <strong>Credential Validation<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"391\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring-1-1024x391.png\" alt=\"\" class=\"wp-image-14183\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring-1-1024x391.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring-1-300x114.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ntlm-traffic-monitoring-1.png 1145w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>En revanche, pour les autres protocoles tels que <strong>SMB<\/strong>, l\u2019audit NTLM g\u00e9n\u00e8re bien un \u00e9v\u00e9nement qui inclut cette fois les d\u00e9tails complets de l\u2019authentification.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"237\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/authentication-details-ntlm-monitoring-1024x237.png\" alt=\"\" class=\"wp-image-14185\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/authentication-details-ntlm-monitoring-1024x237.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/authentication-details-ntlm-monitoring-300x70.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/authentication-details-ntlm-monitoring.png 1143w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-3fdeec419d9805b66f7eb37f4bb2f87b\" id=\"aioseo-audit-de-securite-des-objets-du-domaine\" style=\"color:#c0b800\">Audit de s\u00e9curit\u00e9 des objets du domaine<\/h3>\n\n\n\n<p>La fonctionnalit\u00e9 <strong>System Access Control Lists (SACLs)<\/strong> permet de d\u00e9finir, pour chaque objet de l\u2019Active Directory (utilisateur, groupe, ordinateur, unit\u00e9 d\u2019organisation, etc.), les types d\u2019acc\u00e8s qui doivent \u00eatre journalis\u00e9s.<\/p>\n\n\n\n<p>Selon la configuration mise en place, les \u00e9v\u00e9nements g\u00e9n\u00e9r\u00e9s avec l\u2019<strong>ID 4662<\/strong> fournissent des informations pr\u00e9cieuses, telles que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>l\u2019identit\u00e9 de l\u2019utilisateur ayant acc\u00e9d\u00e9 (ou tent\u00e9 d\u2019acc\u00e9der) \u00e0 l\u2019objet,<\/li>\n\n\n\n<li>le type d\u2019op\u00e9ration effectu\u00e9e (lecture, modification, suppression, etc.),<\/li>\n\n\n\n<li>ainsi que le r\u00e9sultat de l\u2019op\u00e9ration (succ\u00e8s<strong> <\/strong>ou \u00e9chec).<\/li>\n<\/ul>\n\n\n\n<p>Une fois collect\u00e9s dans un SIEM (par exemple ELK), ces \u00e9v\u00e9nements peuvent \u00eatre corr\u00e9l\u00e9s avec des r\u00e8gles de d\u00e9tection pour identifier rapidement les activit\u00e9s suspectes.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"aioseo-mettre-en-place-une-sacls-au-niveau-du-domaine\">Mettre en place une SACLs au niveau du domaine<\/h4>\n\n\n\n<p>La configuration d\u2019une SACL requiert au pr\u00e9alable l\u2019activation de la strat\u00e9gie <strong>Directory Service Access Audit<\/strong>, ce qui a \u00e9t\u00e9 effectu\u00e9 lors de l\u2019\u00e9tape pr\u00e9c\u00e9dente avec la politique d\u2019audit <strong>DS Access<\/strong>.<\/p>\n\n\n\n<p>Dans l\u2019exemple pr\u00e9sent\u00e9, nous appliquons l\u2019audit de s\u00e9curit\u00e9 des objets \u00e0 l\u2019ensemble du domaine. Toutefois, dans un contexte r\u00e9el, et comme illustr\u00e9 plus loin dans l\u2019article avec la cr\u00e9ation de r\u00e8gles personnalis\u00e9es pour ELK, il est d\u00e9conseill\u00e9 de l\u2019appliquer globalement. Il est pr\u00e9f\u00e9rable de cibler des objets sp\u00e9cifiques tels qu\u2019un utilisateur, un groupe ou une unit\u00e9<strong> <\/strong>d\u2019organisation (OU).<\/p>\n\n\n\n<p>Pour mettre en \u0153uvre cette configuration, utilisez l\u2019outil d\u2019administration <strong>Active Directory Users and Computers<\/strong>, puis acc\u00e9dez aux <strong>propri\u00e9t\u00e9s du domaine<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"503\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-properties-1024x503.png\" alt=\"\" class=\"wp-image-14189\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-properties-1024x503.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-properties-300x147.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-properties.png 1459w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Dans l\u2019onglet <strong>Propri\u00e9t\u00e9s<\/strong> du domaine, ouvrez la section <strong>Security<\/strong>, puis cliquez sur <strong>Advanced<\/strong>.<\/p>\n\n\n\n<p>Un nouvel onglet s\u2019affiche alors, donnant acc\u00e8s aux <strong>options de s\u00e9curit\u00e9 avanc\u00e9es<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"605\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-security-1024x605.png\" alt=\"\" class=\"wp-image-14191\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-security-1024x605.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-security-300x177.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-security.png 1446w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Ici, rendez-vous dans <strong>Auditing<\/strong> puis cliquer sur <strong>Add<\/strong>&nbsp;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"598\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing-1024x598.png\" alt=\"\" class=\"wp-image-14193\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing-1024x598.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing-300x175.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing.png 1449w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Configurez ensuite les param\u00e8tres suivants&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Principal &gt; Everyone<\/strong><\/li>\n\n\n\n<li><strong>Type &gt; All<\/strong><\/li>\n\n\n\n<li><strong>Applies to &gt; This object and all descendant objects<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Vous devez \u00e9galement cocher les deux cases suivantes&nbsp;: <strong>Read all properties<\/strong> et <strong>Read permissions<\/strong> :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"670\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing-1-1024x670.png\" alt=\"\" class=\"wp-image-14195\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing-1-1024x670.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing-1-300x196.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/active-directory-users-computers-auditing-1.png 1444w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Avec cette configuration, un <strong>Security Event ID 4662<\/strong> sera g\u00e9n\u00e9r\u00e9 lorsqu\u2019un membre du groupe <strong>Everyone<\/strong> tentera de lire une propri\u00e9t\u00e9 d\u2019un objet de l\u2019Active Directory.<\/p>\n\n\n\n<p>Dans l\u2019exemple ci-dessous, l\u2019utilisateur <em>\u00ab <\/em>martin<em> \u00bb<\/em> a effectu\u00e9 une extraction de l\u2019Active Directory \u00e0 l\u2019aide de l\u2019outil <strong><a href=\"https:\/\/github.com\/SpecterOps\/SharpHound\" target=\"_blank\" rel=\"noopener\" title=\"\">SharpHound<\/a><\/strong>. Cette action a entra\u00een\u00e9 la g\u00e9n\u00e9ration de nombreux \u00e9v\u00e9nements <strong>4662<\/strong>, chacun correspondant \u00e0 un acc\u00e8s en lecture sur un objet sp\u00e9cifique.<\/p>\n\n\n\n<p>Voici un exemple illustrant ce comportement avec un objet de type container :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"580\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ad-auditing-1024x580.png\" alt=\"\" class=\"wp-image-14199\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ad-auditing-1024x580.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ad-auditing-300x170.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ad-auditing-1536x870.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"aioseo-implementer-une-surveillance-ldap-etendue\">Impl\u00e9menter une surveillance LDAP \u00e9tendue<\/h4>\n\n\n\n<p>Par d\u00e9faut, les requ\u00eates LDAP ne sont pas journalis\u00e9es sur un contr\u00f4leur de domaine.<br>Pour activer cette fonctionnalit\u00e9, il est n\u00e9cessaire de modifier la cl\u00e9 de registre suivante et de lui attribuer la valeur <strong>5<\/strong> :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Diagnostics\\Field Engineering<\/strong><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"528\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-1024x528.png\" alt=\"\" class=\"wp-image-14204\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-1024x528.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-300x155.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-1536x791.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s avoir activ\u00e9 la journalisation, seules certaines requ\u00eates LDAP sont enregistr\u00e9es par d\u00e9faut. En effet, cette fonctionnalit\u00e9 a \u00e9t\u00e9 con\u00e7ue \u00e0 l\u2019origine pour identifier les requ\u00eates consid\u00e9r\u00e9es comme co\u00fbteuses ou inefficaces.<\/p>\n\n\n\n<p>Les seuils appliqu\u00e9s par d\u00e9faut sont les suivants :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Expensive Search Results Threshold (10 000)<\/strong> : une requ\u00eate LDAP est jug\u00e9e co\u00fbteuse si elle parcourt plus de <strong>10 000 entr\u00e9es<\/strong>.<\/li>\n\n\n\n<li><strong>Inefficient Search Results Threshold (1 000)<\/strong> : une requ\u00eate LDAP est consid\u00e9r\u00e9e comme inefficace si elle parcourt plus de <strong>1 000 entr\u00e9es<\/strong> et que les r\u00e9sultats repr\u00e9sentent moins de <strong>10 %<\/strong> des entr\u00e9es visit\u00e9es.<\/li>\n\n\n\n<li><strong>Search Time Threshold (30s)<\/strong> : une requ\u00eate LDAP est class\u00e9e comme co\u00fbteuse ou inefficace si son ex\u00e9cution dure plus de <strong>30 secondes<\/strong>.<\/li>\n<\/ul>\n\n\n\n<p>Ces seuils peuvent \u00eatre ajust\u00e9s en cr\u00e9ant des cl\u00e9s de registre sp\u00e9cifiques et en attribuant des valeurs inf\u00e9rieures afin d\u2019obtenir une surveillance plus fine.<\/p>\n\n\n\n<p>Pour une journalisation compl\u00e8te de toutes les requ\u00eates LDAP, il convient de d\u00e9finir la valeur de chaque seuil \u00e0 <strong>1<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><thead><tr><th><strong>Chemin d\u2019acc\u00e8s au registre<\/strong><\/th><th><strong>Type<\/strong><\/th><th><strong>Valeur<\/strong><\/th><\/tr><\/thead><tbody><tr><td><code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters\\Expensive Search Results Threshold<\/code><\/td><td>DWORD<\/td><td>1<\/td><\/tr><tr><td><code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters\\Inefficient Search Results Threshold<\/code><\/td><td>DWORD<\/td><td>1<\/td><\/tr><tr><td><code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters\\Search Time Threshold<\/code><\/td><td>DWORD<\/td><td>1<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"516\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-1-1024x516.png\" alt=\"\" class=\"wp-image-14211\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-1-1024x516.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-1-300x151.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-1.png 1135w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s avoir ajout\u00e9 les cl\u00e9s de registre avec la valeur d\u00e9finie et red\u00e9marr\u00e9 le contr\u00f4leur de domaine, les \u00e9v\u00e9nements associ\u00e9s apparaissent d\u00e9sormais avec l\u2019<strong>ID 1644<\/strong> dans l\u2019Event Viewer.<\/p>\n\n\n\n<p>Ils sont accessibles via le chemin suivant : <strong>Applications and Services Logs &gt; Directory Service<\/strong>. <\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"472\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-2-1024x472.png\" alt=\"\" class=\"wp-image-14214\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-2-1024x472.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-2-300x138.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-2.png 1056w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-32b6eeed92992902e1c7fb5c8ecfbb40\" id=\"aioseo-politique-daudit-des-machines-du-domaine\" style=\"color:#c0b800\"><strong>Politique d\u2019audit des machines du domaine<\/strong> (Client-Side Monitoring)<\/h3>\n\n\n\n<p>La <strong>politique d\u2019audit des contr\u00f4leurs de domaine<\/strong> reste la source principale pour les \u00e9v\u00e9nements li\u00e9s au protocole <strong>LDAP<\/strong>.<br>Toutefois, il est pertinent d\u2019ajouter une <strong>surveillance c\u00f4t\u00e9 postes<\/strong> (machines membres) pour capturer les requ\u00eates LDAP \u00e9mises par ces machines : ces deux approches forment le <strong>Client-Side Monitoring<\/strong> et am\u00e9liorent la visibilit\u00e9 du SOC en compl\u00e9ment de la journalisation c\u00f4t\u00e9 contr\u00f4leur.<\/p>\n\n\n\n<p>Contrairement au contr\u00f4leur de domaine (o\u00f9 l\u2019on active la journalisation LDAP \u00e9tendue via la cl\u00e9 de registre <em>Field Engineering<\/em> pour obtenir les <strong>Event ID 1644<\/strong>), les machines membres utilisent un canal d\u2019\u00e9v\u00e9nements distinct bas\u00e9 sur <strong>ETW<\/strong> : <strong>Microsoft-Windows-LDAP-Client<\/strong>.<\/p>\n\n\n\n<p>Sur la machine cliente, lancez la commande PowerShell suivante pour d\u00e9marrer une trace ETW et enregistrer les \u00e9v\u00e9nements LDAP du client :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>Logman create trace LDAPClientTrace -p Microsoft-Windows-LDAP-Client -o C:\\Temp\\LDAPClientTrace.elt -ow -f bincirc -max 256 -ets<\/strong><\/code><\/pre>\n\n\n\n<p>Cette commande cr\u00e9e une trace nomm\u00e9e <strong>LDAPClientTrace<\/strong> et \u00e9crit le fichier <code>C:\\Temp\\LDAPClientTrace.elt<\/code>.<\/p>\n\n\n\n<p>Pour simuler une activit\u00e9 malveillante depuis la machine cliente (par ex. ingestion du domaine), vous pouvez ex\u00e9cuter <strong>SharpHound.exe<\/strong> sur cette machine. Les requ\u00eates LDAP g\u00e9n\u00e9r\u00e9es par l\u2019outil seront alors consign\u00e9es dans la trace ETW et permettront d\u2019observer le comportement client-side.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"536\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/using-sharphound-1024x536.png\" alt=\"\" class=\"wp-image-14218\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/using-sharphound-1024x536.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/using-sharphound-300x157.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/using-sharphound.png 1055w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Vous pouvez importer le fichier <code>LDAPClientTrace.etl<\/code> dans Event Viewer pour consulter les \u00e9v\u00e9nements clients LDAP, notamment les <strong>Event ID 30<\/strong>.<\/p>\n\n\n\n<p>Attention : contrairement \u00e0 la journalisation \u00e9tendue c\u00f4t\u00e9 contr\u00f4leur de domaine, il n\u2019existe pas de seuils configurables (taille, dur\u00e9e, nombre de requ\u00eates) pour cette trace c\u00f4t\u00e9 client. <\/p>\n\n\n\n<p>Par ailleurs, toute utilisation de la biblioth\u00e8que <strong>wldap32.dll<\/strong> (appel\u00e9e par des applications l\u00e9gitimes ou malveillantes) peut g\u00e9n\u00e9rer un <strong>Event ID 30<\/strong>, ce qui impose de corr\u00e9ler ces \u00e9v\u00e9nements pour distinguer le trafic normal des activit\u00e9s suspectes.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"670\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-client-machine-1024x670.png\" alt=\"\" class=\"wp-image-14220\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-client-machine-1024x670.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-client-machine-300x196.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-client-machine.png 1055w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Pour compl\u00e9ter la visibilit\u00e9 client-side, vous pouvez d\u00e9ployer <strong>Sysmon<\/strong> avec une configuration minimale afin de journaliser toutes les connexions sortantes vers <strong>LDAP (389)<\/strong> et <strong>LDAPS (636)<\/strong>. Cela permet d\u2019identifier pr\u00e9cis\u00e9ment quel <strong>processus<\/strong> sur la machine \u00e9tablit la connexion vers les contr\u00f4leurs de domaine.<\/p>\n\n\n\n<p><strong>Exemple de fichier <code>config.xml<\/code> :<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>&lt;Sysmon schemaversion=\"4.50\"&gt;\n  &lt;EventFiltering&gt;\n    &lt;NetworkConnect onmatch=\"include\"&gt;\n      &lt;!-- Ports LDAP et LDAPS --&gt;\n      &lt;DestinationPort condition=\"is\"&gt;389&lt;\/DestinationPort&gt;\n      &lt;DestinationPort condition=\"is\"&gt;636&lt;\/DestinationPort&gt;\n    &lt;\/NetworkConnect&gt;\n  &lt;\/EventFiltering&gt;\n&lt;\/Sysmon&gt;<\/strong><\/code><\/pre>\n\n\n\n<p>On peut l\u2019activer directement via PowerShell&nbsp;:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>.\\Sysmon64.exe -i .\\config.xml<\/strong><\/code><\/pre>\n\n\n\n<p>Cette commande installe Sysmon avec la configuration fournie et commencera \u00e0 loguer les \u00e9v\u00e9nements <code>NetworkConnect<\/code> correspondant aux ports LDAP\/LDAPS.<\/p>\n\n\n\n<p>Pour tester ou simuler un sc\u00e9nario malveillant depuis la machine cliente, relancez <strong>SharpHound<\/strong> : les connexions LDAP\/LDAPS g\u00e9n\u00e9r\u00e9es devraient appara\u00eetre dans les \u00e9v\u00e9nements Sysmon, avec le processus \u00e0 l\u2019origine de la connexion.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"521\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-sharphound-1024x521.png\" alt=\"\" class=\"wp-image-14222\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-sharphound-1024x521.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-sharphound-300x153.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/ldap-monitoring-sharphound.png 1055w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s l\u2019installation, les connexions journalis\u00e9es par Sysmon apparaissent sous l\u2019<strong>Event ID 3<\/strong> dans l\u2019<strong>Event Viewer<\/strong>. Vous pouvez les consulter ici : <strong>Applications and Services Logs &gt; Microsoft &gt; Windows &gt; Sysmon<\/strong>.<\/p>\n\n\n\n<p>Ces \u00e9v\u00e9nements fournissent des informations utiles (processus source, PID, adresse IP distante, port, etc.) pour identifier quel processus a initi\u00e9 une connexion LDAP\/LDAPS depuis la machine cliente.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"583\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-3-sysmon-1024x583.png\" alt=\"\" class=\"wp-image-14224\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-3-sysmon-1024x583.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-3-sysmon-300x171.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-3-sysmon.png 1060w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-1c0bac97b0c8bfb0a5950d55a458790b\" id=\"aioseo-surveillance-par-le-reseau\" style=\"color:#c0b800\">Surveillance par le r\u00e9seau<\/h3>\n\n\n\n<p>La surveillance r\u00e9seau compl\u00e8te utilement la visibilit\u00e9 obtenue c\u00f4t\u00e9 contr\u00f4leurs de domaine et c\u00f4t\u00e9 postes clients en capturant les flux r\u00e9seau eux-m\u00eames, plut\u00f4t que de se limiter aux journaux Windows. <\/p>\n\n\n\n<p>Elle permet d\u2019observer les requ\u00eates \u00e9chang\u00e9es entre postes et serveurs ind\u00e9pendamment du syst\u00e8me de journalisation, d\u2019identifier des comportements anormaux (par exemple un poste qui effectue des interrogations massives de l\u2019annuaire) et d\u2019enrichir les investigations en corr\u00e9lant les flux r\u00e9seau avec les logs Windows. <\/p>\n\n\n\n<p>Des outils comme Zeek, Suricata\/Snort ou des solutions NDR peuvent \u00eatre utilis\u00e9s pour cette surveillance, mais il faut garder \u00e0 l\u2019esprit plusieurs limites op\u00e9rationnelles : la plupart des communications LDAP utilis\u00e9es par des outils offensifs s\u2019effectuent via LDAP over TLS ou LDAPS, ce qui rend le contenu des requ\u00eates invisible sans inspection TLS (avec les implications techniques et juridiques que cela suppose). <\/p>\n\n\n\n<p>Par ailleurs, monitorer l\u2019ensemble du trafic LDAP dans un grand domaine peut s\u2019av\u00e9rer co\u00fbteux en ressources ; il est donc essentiel de positionner la sonde de mani\u00e8re strat\u00e9gique (par exemple en amont des contr\u00f4leurs de domaine ou des serveurs sensibles) pour maximiser la valeur des donn\u00e9es collect\u00e9es. <\/p>\n\n\n\n<p>En somme, la surveillance r\u00e9seau offre une vue ind\u00e9pendante et centralis\u00e9e qui compl\u00e8te fortement les audits Windows, mais son utilit\u00e9 d\u00e9pendra toujours des sp\u00e9cificit\u00e9s de votre environnement et de vos capacit\u00e9s d\u2019infrastructure.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-creer-des-regles-personnalisees-pour-elk\">Cr\u00e9er des r\u00e8gles personnalis\u00e9es pour ELK<\/h2>\n\n\n\n<p>Elastic Stack (avec Elastic Defend \/ Detection rules) fournit par d\u00e9faut un jeu de r\u00e8gles g\u00e9n\u00e9riques, mais celles-ci sont rarement suffisantes pour une surveillance approfondie de LDAP et d\u2019Active Directory. <\/p>\n\n\n\n<p>\u00c0 l\u2019\u00e9tat initial, seules deux r\u00e8gles orient\u00e9es LDAP sont incluses : <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.elastic.co\/docs\/reference\/security\/prebuilt-rules\/rules\/windows\/discovery_high_number_ad_properties\" target=\"_blank\" rel=\"noopener\" title=\"\">Suspicious Access to LDAP Attributes<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.elastic.co\/docs\/reference\/security\/prebuilt-rules\/rules\/windows\/credential_access_ldap_attributes\" target=\"_blank\" rel=\"noopener\" title=\"\">Access to a Sensitive LDAP Attribute<\/a><\/li>\n<\/ul>\n\n\n\n<p>Si ces r\u00e8gles constituent un point de d\u00e9part utile, il est pertinent de renforcer la d\u00e9tection en ajoutant des r\u00e8gles personnalis\u00e9es. <\/p>\n\n\n\n<p>Nous proposons d\u2019en cr\u00e9er quatre sp\u00e9cifiquement d\u00e9di\u00e9es \u00e0 l\u2019activit\u00e9 malveillante dans Active Directory. <\/p>\n\n\n\n<p>La conception de ces r\u00e8gles s\u2019appuiera sur les \u00e9l\u00e9ments pr\u00e9sent\u00e9s pr\u00e9c\u00e9demment concernant la configuration et la mise en place de la surveillance LDAP.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-ec945de9910cb5260453bd631ecf86c5\" id=\"aioseo-honeypot-asreproasting\" style=\"color:#c0b800\">Honeypot ASREProasting<\/h3>\n\n\n\n<p>L\u2019<strong>AS-REP Roasting<\/strong> est une technique offensive qui cible les comptes pour lesquels l\u2019option <strong>\u00ab Do not require Kerberos pre-authentication \u00bb<\/strong> est activ\u00e9e. L\u2019attaquant demande un AS-REP pour ce compte et r\u00e9cup\u00e8re un bloc chiffr\u00e9 (l\u2019AS-REP) qu\u2019il peut ensuite attaquer hors-ligne par <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/attaques-brute-force-principes-et-bonnes-pratiques-securite\/\" target=\"_blank\" rel=\"noopener\" title=\"\">brute force<\/a> pour tenter de retrouver le mot de passe. <\/p>\n\n\n\n<p>Pour pr\u00e9parer notre honeypot, nous commen\u00e7ons par cr\u00e9er un compte d\u00e9di\u00e9 nomm\u00e9 <strong>svc_backup<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"590\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/honeypot-asreproasting-1024x590.png\" alt=\"\" class=\"wp-image-14226\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/honeypot-asreproasting-1024x590.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/honeypot-asreproasting-300x173.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/honeypot-asreproasting.png 1052w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s avoir ajout\u00e9 l\u2019utilisateur, ouvrez ses propri\u00e9t\u00e9s dans <strong>Active Directory Users and Computers<\/strong> et cochez l\u2019option <strong>\u00ab Do not require Kerberos preauthentication \u00bb<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1007\" height=\"583\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/honeypot-asreproasting-preauth.png\" alt=\"\" class=\"wp-image-14228\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/honeypot-asreproasting-preauth.png 1007w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/honeypot-asreproasting-preauth-300x174.png 300w\" sizes=\"(max-width: 1007px) 100vw, 1007px\" \/><\/figure>\n\n\n\n<p>Pour d\u00e9tecter les demandes de ticket Kerberos, activez dans la politique d\u2019audit la sous-cat\u00e9gorie <strong>Audit Kerberos Authentication Service<\/strong> (sous <strong>Account Logon<\/strong>) en mode <strong>Success<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"613\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-event-success-1024x613.png\" alt=\"\" class=\"wp-image-14230\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-event-success-1024x613.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-event-success-300x180.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-event-success.png 1055w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s configuration, lorsqu\u2019une machine attaquante sollicite le ticket du honeypot AS-REP Roasting, un <strong>Event ID 4768<\/strong> est g\u00e9n\u00e9r\u00e9. <\/p>\n\n\n\n<p>Parmi les \u00e9l\u00e9ments pertinents pour la d\u00e9tection, on retrouve notamment <strong>l\u2019adresse IP<\/strong> de la machine ayant effectu\u00e9 la requ\u00eate :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"508\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/attacker-ip-1024x508.png\" alt=\"\" class=\"wp-image-14232\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/attacker-ip-1024x508.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/attacker-ip-300x149.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/attacker-ip.png 1057w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Pour d\u00e9tecter simplement la requ\u00eate li\u00e9e au honeypot dans ELK, une r\u00e8gle KQL tr\u00e8s concise suffit. <\/p>\n\n\n\n<p>La requ\u00eate suivante recherche l\u2019Event ID associ\u00e9 au ticket et le nom du compte cible :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>event.code : \"4768\" and user.name : \"svc_backup\"<\/strong><\/code><\/pre>\n\n\n\n<p>Voici \u00e0 quoi ressemble la r\u00e8gle de d\u00e9tection dans le SIEM&nbsp;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"431\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/svc-backup-elk-1024x431.png\" alt=\"\" class=\"wp-image-14234\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/svc-backup-elk-1024x431.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/svc-backup-elk-300x126.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/svc-backup-elk.png 1042w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s avoir ajout\u00e9 la r\u00e8gle \u00e0 ELK, relancez l\u2019attaque depuis la machine offensive ; dans le tableau de bord, vous constaterez que la r\u00e8gle s\u2019est bien d\u00e9clench\u00e9e.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"464\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-alert-1024x464.png\" alt=\"\" class=\"wp-image-14236\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-alert-1024x464.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-alert-300x136.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/asreproasting-alert.png 1034w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>La cr\u00e9ation de la r\u00e8gle et la configuration du compte dans Active Directory restent ici volontairement minimalistes. En environnement r\u00e9el, il convient d\u2019augmenter la cr\u00e9dibilit\u00e9 du compte, en lui ajoutant un historique d\u2019activit\u00e9, des attributs coh\u00e9rents et une utilisation simul\u00e9e, pour rendre le leurre plus cr\u00e9dible et maximiser l\u2019efficacit\u00e9 du honeypot.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-000028099258bf5672abc2934e7a585e\" id=\"aioseo-honeypot-kerberoasting\" style=\"color:#c0b800\">Honeypot Kerberoasting<\/h3>\n\n\n\n<p>Le Kerberoasting est une technique offensive o\u00f9 un attaquant demande un ticket de service (TGS) pour un compte disposant de l\u2019attribut <strong>servicePrincipalName<\/strong>. <\/p>\n\n\n\n<p>Ce ticket contient une portion chiffr\u00e9e d\u00e9riv\u00e9e du mot de passe du compte de service ; l\u2019attaquant r\u00e9cup\u00e8re ce bloc chiffr\u00e9 et peut ensuite l\u2019attaquer hors ligne par force brute pour tenter de retrouver le mot de passe. <\/p>\n\n\n\n<p>Pour notre honeypot, nous commen\u00e7ons par cr\u00e9er un compte d\u00e9di\u00e9 nomm\u00e9 <strong>svc_veeam<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"568\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-honeypot-1024x568.png\" alt=\"\" class=\"wp-image-14240\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-honeypot-1024x568.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-honeypot-300x166.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-honeypot.png 1059w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s avoir ajout\u00e9 l\u2019utilisateur, ouvrez ses propri\u00e9t\u00e9s dans <strong>Active Directory Users and Computers<\/strong> et affectez-lui un <strong>servicePrincipalName (SPN)<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"657\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-kerberoasting-honeypot-1024x657.png\" alt=\"\" class=\"wp-image-14242\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-kerberoasting-honeypot-1024x657.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-kerberoasting-honeypot-300x192.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-kerberoasting-honeypot.png 1032w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"652\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-2-1024x652.png\" alt=\"\" class=\"wp-image-14244\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-2-1024x652.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-2-300x191.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/adding-spn-2.png 1055w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Pour d\u00e9tecter les demandes de ticket li\u00e9es \u00e0 un <strong>servicePrincipalName<\/strong>, activez dans la politique d\u2019audit la sous-cat\u00e9gorie <strong>Audit Kerberos Service Ticket Operations<\/strong> (sous <strong>Account Logon<\/strong>) en mode <strong>Success<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"477\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/activating-kerberoasting-honeypot-1024x477.png\" alt=\"\" class=\"wp-image-14247\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/activating-kerberoasting-honeypot-1024x477.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/activating-kerberoasting-honeypot-300x140.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/activating-kerberoasting-honeypot.png 1056w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s configuration, lorsqu\u2019une machine attaquante sollicite le ticket de service du honeypot Kerberoasting, un <strong>Event ID 4769<\/strong> est g\u00e9n\u00e9r\u00e9. <\/p>\n\n\n\n<p>Parmi les informations utiles pour la d\u00e9tection figurent le <strong>compte cibl\u00e9<\/strong> et <strong>l\u2019adresse IP<\/strong> de la machine ayant effectu\u00e9 la demande.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"453\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-info-1024x453.png\" alt=\"\" class=\"wp-image-14250\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-info-1024x453.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-info-300x133.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-info.png 1060w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Pour d\u00e9tecter de mani\u00e8re simple une requ\u00eate Kerberoasting ciblant le honeypot dans ELK, une r\u00e8gle KQL concise suffit. La requ\u00eate ci-dessous recherche l\u2019Event ID correspondant \u00e0 la demande de ticket de service ainsi que le nom du service vis\u00e9 :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>event.code : \"4769\" and service.name : \"svc_veeam\"<\/strong><\/code><\/pre>\n\n\n\n<p>Voici \u00e0 quoi ressemble la r\u00e8gle de d\u00e9tection dans le SIEM&nbsp;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"427\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-rule-siem-1024x427.png\" alt=\"\" class=\"wp-image-14252\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-rule-siem-1024x427.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-rule-siem-300x125.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-rule-siem.png 1042w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s avoir ajout\u00e9 la r\u00e8gle dans ELK, relancez l\u2019attaque ; le tableau de bord affichera que la r\u00e8gle s\u2019est bien d\u00e9clench\u00e9e.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"487\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-triggered-1024x487.png\" alt=\"\" class=\"wp-image-14254\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-triggered-1024x487.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-triggered-300x143.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/kerberoasting-alert-triggered.png 1057w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>La configuration de la r\u00e8gle de d\u00e9tection et la mise en place du compte dans Active Directory pr\u00e9sent\u00e9es ici restent volontairement minimalistes. <\/p>\n\n\n\n<p>En production, il est n\u00e9cessaire d\u2019accro\u00eetre la cr\u00e9dibilit\u00e9 du compte, en lui attribuant un historique d\u2019activit\u00e9, des attributs coh\u00e9rents et une utilisation simul\u00e9e, pour rendre le leurre plus r\u00e9aliste et maximiser l\u2019efficacit\u00e9 du honeypot.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-f199c4dcd1465b54a1eba2367db83460\" id=\"aioseo-detection-bloodhound-smb\" style=\"color:#c0b800\">D\u00e9tection BloodHound via SMB (IPC$ &amp; named pipes)<\/h3>\n\n\n\n<p>BloodHound est un outil offensif con\u00e7u pour cartographier les relations et les permissions au sein d\u2019un Active Directory. <\/p>\n\n\n\n<p>Dans notre cas, avec la surveillance LDAP \u00e9tendue activ\u00e9e, nous avons utilis\u00e9 <strong>SharpHound.exe<\/strong>, l\u2019outil d\u2019ingestion associ\u00e9 \u00e0 BloodHound. <\/p>\n\n\n\n<p>Pour la r\u00e8gle de d\u00e9tection pr\u00e9sent\u00e9e ici (et la suivante), nous nous int\u00e9ressons cependant \u00e0 l\u2019outil externe <strong>bloodhound-python<\/strong>. Lorsqu\u2019il est configur\u00e9 en mode <strong>All<\/strong> (sc\u00e9nario fr\u00e9quent), l\u2019outil se connecte au partage <strong>IPC$<\/strong> pour \u00e9tablir des sessions <strong>DCE\/RPC<\/strong> et interroge via ce canal plusieurs named pipes expos\u00e9s par le syst\u00e8me, notamment <strong>srvsvc<\/strong>, <strong>samr<\/strong> et <strong>lsarpc<\/strong>. <\/p>\n\n\n\n<p>Pour cr\u00e9er la r\u00e8gle de d\u00e9tection, il faut d\u2019abord rep\u00e9rer les Event IDs correspondant aux acc\u00e8s au partage et aux acc\u00e8s aux named pipes ; cela n\u00e9cessite d\u2019activer dans la politique d\u2019audit la sous-cat\u00e9gorie <strong>Audit File Share<\/strong> en <strong>Success<\/strong>, situ\u00e9e dans la cat\u00e9gorie <strong>Object Access<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"517\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-file-share-1024x517.png\" alt=\"\" class=\"wp-image-14261\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-file-share-1024x517.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-file-share-300x151.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-file-share.png 1123w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Activez \u00e9galement la sous-cat\u00e9gorie <strong>Audit File Detailed File Share<\/strong> (dans la cat\u00e9gorie <strong>Object Access<\/strong>) en mode <strong>Success<\/strong> dans votre politique d\u2019audit.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"503\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-detailed-file-share-1024x503.png\" alt=\"\" class=\"wp-image-14263\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-detailed-file-share-1024x503.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-detailed-file-share-300x147.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/audit-detailed-file-share.png 1125w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s activation de la politique d\u2019audit, ex\u00e9cutez <strong>bloodhound-python<\/strong> pour observer les Event IDs g\u00e9n\u00e9r\u00e9s pendant l\u2019ingestion. Par exemple :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>bloodhound-python -u 'martin' -p 'martin' -d blue.local -v --zip -c All -dc DC01.blue.local -ns 10.10.100.10<\/strong><\/code><\/pre>\n\n\n\n<p>Apr\u00e8s l\u2019ingestion, nous constatons la g\u00e9n\u00e9ration d\u2019un <strong>Event ID 5140<\/strong> correspondant \u00e0 l\u2019acc\u00e8s au partage <strong>IPC$<\/strong>, accompagn\u00e9 d\u2019une requ\u00eate de lecture des donn\u00e9es.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"442\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5140-1024x442.png\" alt=\"\" class=\"wp-image-14265\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5140-1024x442.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5140-300x130.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5140.png 1123w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Cet \u00e9v\u00e9nement est suivi de plusieurs <strong>Event ID 5145<\/strong>, \u00e9galement li\u00e9s \u00e0 l\u2019acc\u00e8s au partage <strong>IPC$<\/strong>. Chacun d\u2019eux cible sp\u00e9cifiquement diff\u00e9rents named pipes.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"231\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5145-1024x231.png\" alt=\"\" class=\"wp-image-14267\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5145-1024x231.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5145-300x68.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-5145.png 1117w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Acc\u00e8s \u00e0 la named pipes nomm\u00e9e <strong><strong>srvsvc<\/strong><\/strong> du partage IPC$ : <\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"428\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-naned-pipes-srvsvc-1024x428.png\" alt=\"\" class=\"wp-image-14269\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-naned-pipes-srvsvc-1024x428.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-naned-pipes-srvsvc-300x126.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-naned-pipes-srvsvc.png 1121w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Acc\u00e8s \u00e0 la named pipes nomm\u00e9e <strong>samr<\/strong> du partage IPC$ : <\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"510\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-samr-1024x510.png\" alt=\"\" class=\"wp-image-14271\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-samr-1024x510.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-samr-300x149.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-samr.png 1114w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li>&nbsp;Et acc\u00e8s \u00e0 la \u00ab&nbsp;named pipes&nbsp;\u00bb nomm\u00e9e <strong>lsarpc<\/strong> du partage \u00ab&nbsp;IPC$&nbsp;\u00bb&nbsp;:<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"518\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-lsarpc-1024x518.png\" alt=\"\" class=\"wp-image-14273\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-lsarpc-1024x518.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-lsarpc-300x152.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/access-to-named-pipes-lsarpc.png 1112w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Pour la cr\u00e9ation de la r\u00e8gle dans ELK, nous allons adopter une approche minimaliste en utilisant cette fois le langage ES|QL :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"822\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/elk-rule-1-1024x822.png\" alt=\"\" class=\"wp-image-14322\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/elk-rule-1-1024x822.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/elk-rule-1-300x241.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/elk-rule-1-1536x1232.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Cette r\u00e8gle surveille, sur une fen\u00eatre de 5 minutes, les \u00e9v\u00e9nements associ\u00e9s au partage <strong>IPC$<\/strong> (<strong>5140<\/strong>) ainsi qu\u2019aux <em>named pipes<\/em> (<strong>5145<\/strong>). Elle recherche une s\u00e9quence caract\u00e9ristique compos\u00e9e d\u2019une connexion initiale \u00e0 <strong>IPC$<\/strong>, suivie d\u2019acc\u00e8s aux <em>named pipes<\/em> <strong>srvsvc<\/strong>, <strong>samr<\/strong> et <strong>lsarpc<\/strong>. <\/p>\n\n\n\n<p>Les \u00e9v\u00e9nements sont agr\u00e9g\u00e9s par adresse IP source et par utilisateur, et l\u2019intervalle de temps entre le premier et le dernier acc\u00e8s est calcul\u00e9. Enfin, la r\u00e8gle ne se d\u00e9clenche que si ces quatre \u00e9tapes sont observ\u00e9es dans un court laps de temps.<\/p>\n\n\n\n<p>Voici \u00e0 quoi ressemble la r\u00e8gle de d\u00e9tection dans le SIEM&nbsp;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"448\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule-1024x448.png\" alt=\"\" class=\"wp-image-14275\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule-1024x448.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule-300x131.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule.png 1092w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Une fois la r\u00e8gle ajout\u00e9e \u00e0 ELK, nous relan\u00e7ons l\u2019attaque depuis la machine attaquante. Dans le tableau de bord, on constate que la r\u00e8gle s\u2019est bien d\u00e9clench\u00e9e et a g\u00e9n\u00e9r\u00e9 les alertes attendues.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"488\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert-1024x488.png\" alt=\"\" class=\"wp-image-14277\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert-1024x488.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert-300x143.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert.png 1113w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-15e3674bb629520750596a9a577edbb0\" id=\"aioseo-detection-bloodhound-ldap\" style=\"color:#c0b800\"><strong>D\u00e9tection <strong>BloodHound<\/strong> via LDAP<\/strong><\/h3>\n\n\n\n<p>Une autre m\u00e9thode pour d\u00e9tecter l\u2019utilisation de <strong>bloodhound-python<\/strong> consiste \u00e0 d\u00e9ployer un leurre Active Directory (\u00ab AD Decoy \u00bb). <\/p>\n\n\n\n<p>Dans notre exemple, le principe est de cr\u00e9er un objet leurre (groupe de domaine, utilisateur, OU, etc.) puis de corr\u00e9ler les <strong>Event ID 4662<\/strong> correspondant \u00e0 des op\u00e9rations de lecture de cet objet lorsqu\u2019elles sont effectu\u00e9es par un compte ou une machine qui n\u2019est ni l\u2019administrateur du domaine ni le contr\u00f4leur de domaine, afin de r\u00e9duire les faux positifs. <\/p>\n\n\n\n<p>Pour impl\u00e9menter cette r\u00e8gle, nous commen\u00e7ons par cr\u00e9er un groupe de domaine nomm\u00e9 <strong>ITAdmins<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"582\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/creating-domain-group-1024x582.png\" alt=\"\" class=\"wp-image-14281\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/creating-domain-group-1024x582.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/creating-domain-group-300x170.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/creating-domain-group.png 1127w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s cr\u00e9ation du groupe, nous allons configurer l\u2019audit de s\u00e9curit\u00e9. Pour ce faire, rendez-vous dans les propri\u00e9t\u00e9s puis dans <strong>Security&nbsp;&gt; Advanced<\/strong> :<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"571\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-properties-1024x571.png\" alt=\"\" class=\"wp-image-14283\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-properties-1024x571.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-properties-300x167.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-properties.png 1115w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Dans ce nouvel onglet, rendez-vous dans la cat\u00e9gorie <strong>Auditing<\/strong> pour configurer les param\u00e8tres.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"621\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-auditing-parameters-1024x621.png\" alt=\"\" class=\"wp-image-14285\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-auditing-parameters-1024x621.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-auditing-parameters-300x182.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/group-auditing-parameters.png 1127w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Configurez ensuite les param\u00e8tres suivants :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Principal &gt; Everyone<\/strong><\/li>\n\n\n\n<li><strong>Type &gt; Success<\/strong><\/li>\n\n\n\n<li><strong>Applies to&nbsp;&gt; This object only<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Vous devez \u00e9galement cocher les deux cases suivantes : <strong>Read all properties<\/strong> et <strong>Read permissions<\/strong>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"577\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/read-properties-permissions-1024x577.png\" alt=\"\" class=\"wp-image-14287\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/read-properties-permissions-1024x577.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/read-properties-permissions-300x169.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/read-properties-permissions.png 1120w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Apr\u00e8s configuration de la politique d\u2019audit du groupe de domaine, on va lancer <strong>bloodhound-python<\/strong>&nbsp;et v\u00e9rifier qu\u2019on a bien l\u2019<strong>Event ID 4662<\/strong> :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>bloodhound-python -u 'martin' -p 'martin' -d blue.local -v --zip -c All -dc DC01.blue.local -ns 10.10.100.10<\/strong><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"542\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-4662-1024x542.png\" alt=\"\" class=\"wp-image-14289\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-4662-1024x542.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-4662-300x159.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/event-id-4662.png 1093w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Pour la cr\u00e9ation de la r\u00e8gle dans ELK, nous allons utiliser cette fois le langage EQL :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong>any where event.code == \"4662\" and not user.name: \"Administrator\" and not user.name: \"DC01$\" and winlog.event_data.ObjectName : \"%{f0247382-76c4-4b0d-8427-4202558b93c6}\" and winlog.event_data.AccessListDescription: \"Read\"<\/strong><\/code><\/pre>\n\n\n\n<p>Voici \u00e0 quoi ressemble la r\u00e8gle de d\u00e9tection dans le SIEM&nbsp;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"396\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule-1-1024x396.png\" alt=\"\" class=\"wp-image-14291\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule-1-1024x396.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule-1-300x116.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-rule-1.png 1116w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Une fois la r\u00e8gle ajout\u00e9e \u00e0 notre ELK, on retente l\u2019ex\u00e9cution de l\u2019attaque avec notre machine attaquante. On observe bien dans le Dashboard que la r\u00e8gle a \u00e9t\u00e9 enclench\u00e9e&nbsp;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"467\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert-1-1024x467.png\" alt=\"\" class=\"wp-image-14293\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert-1-1024x467.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert-1-300x137.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/10\/bloodhound-detection-alert-1.png 1100w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-conclusion\">Conclusion<\/h2>\n\n\n\n<p>Cet article montre qu\u2019un monitoring efficace d\u2019Active Directory repose sur une approche multi-couches : l\u2019audit c\u00f4t\u00e9 contr\u00f4leurs de domaine, l&rsquo;analyse c\u00f4t\u00e9 postes, la collecte r\u00e9seau et des r\u00e8gles SIEM adapt\u00e9es se compl\u00e8tent pour offrir une visibilit\u00e9 robuste sur les activit\u00e9s LDAP et les tactiques offensives courantes. La configuration fine des sous-cat\u00e9gories d\u2019audit, l\u2019activation cibl\u00e9e des SACLs et l\u2019enrichissement par Sysmon ou les traces ETW permettent de transformer des \u00e9v\u00e9nements bruts en indicateurs exploitables dans ELK.<\/p>\n\n\n\n<p>La mise en place de r\u00e8gles ELK personnalis\u00e9es et l\u2019emploi de honeypots facilitent la d\u00e9tection des comportements malveillants et offrent des sc\u00e9narios tests r\u00e9alistes pour valider la cha\u00eene de d\u00e9tection. Il est toutefois essentiel d\u2019\u00e9quilibrer sensibilit\u00e9 et co\u00fbt op\u00e9rationnel : une journalisation trop verbeuse augmente la charge sur les contr\u00f4leurs, le SIEM et l\u2019infrastructure r\u00e9seau, tandis qu\u2019une couverture trop faible laisse des angles morts. Priorisez donc le ciblage des objets et services critiques, ajustez les seuils en fonction de votre environnement et anticipez l\u2019impact sur le stockage et le traitement.<\/p>\n\n\n\n<p>Enfin, le monitoring d\u2019AD est un processus it\u00e9ratif : configurez, testez (avec des simulations contr\u00f4l\u00e9es ou des exercices Red Team), corr\u00e9lez, et affinez vos r\u00e8gles et vos seuils. En appliquant ces principes, vous d\u00e9ployerez une posture de d\u00e9tection pragmatique, mesurable et adapt\u00e9e aux risques propres \u00e0 votre domaine.<\/p>\n\n\n\n<p><strong>Auteurs : Alexis PARET &#8211; Pentester &amp; Amin TRAOR\u00c9 &#8211; CMO @Vaadata<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Active Directory (AD) est un service d\u2019annuaire d\u00e9velopp\u00e9 par Microsoft. Il est utilis\u00e9 par la majorit\u00e9 des entreprises pour g\u00e9rer les identit\u00e9s, les comptes utilisateurs, les machines, les politiques de s\u00e9curit\u00e9 ainsi que les droits d\u2019acc\u00e8s aux ressources et services.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":{"0":"post-14153","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-solutions-fr"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/14153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=14153"}],"version-history":[{"count":53,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/14153\/revisions"}],"predecessor-version":[{"id":14348,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/14153\/revisions\/14348"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=14153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=14153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=14153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}