L’ID d'événement 4625 (affiché dans l’Observateur d’événements Windows) documente chaque tentative avec échec de connexion à un ordinateur local.. Cet événement est généré sur l'ordinateur à partir duquel la tentative de connexion a été effectuée. Un événement connexe, ID d'événement 4624 documente les connexions réussies.
L'événement 4625 s'applique aux systèmes d'exploitation suivants: Windows Server 2008 R2 et Windows 7, Windows Server 2012 R2 et Windows 8.1, et Windows Server 2016 et Windows 10. Les événements correspondants dans Windows Server 2003 et les versions antérieures comprenaient 529, 530, 531, 532, 533, 534, 535, 536, 537 et 539 pour les échecs de connexion.
L'ID d'événement 4625 est un peu différent selon qu'il s'agit de Windows Server 2008, 2012 ou 2016. Les captures d'écran ci-dessous mettent en évidence les champs importants de chacune de ces versions.
Les informations importantes qui peuvent être tirées de l'événement 4625 sont les suivantes :
Autres informations pouvant être obtenues à partir de l'événement 4625 :
Sécurité
Détecter les attaques par force brute, par dictionnaire et autres attaques par tentative de deviner le mot de passe, qui se caractérisent par une augmentation soudaine du nombre d'échecs de connexion.
Détecter les activités internes anormales, et éventuellement malveillantes, comme les tentatives de connexion à partir d'un compte désactivé ou d’une station de travail non autorisée, les utilisateurs qui se connectent en dehors des heures de travail normales, etc.
Opérationnel
Trouver une référence pour le paramètre de stratégie Seuil de verrouillage du compte qui détermine le nombre de tentatives de connexion infructueuses avant que le compte d'un utilisateur ne soit verrouillé.
Conformité
Disposer d'informations précises sur les échecs de connexion pour se conformer aux exigences réglementaires.
Dans un environnement informatique classique, le nombre d'événements portant l'ID 4625 (Échec de connexion) peut atteindre plusieurs milliers chaque jour. Les échecs de connexion sont utiles en soi, mais il est possible d'obtenir de meilleures analyses sur l'activité du réseau en établissant des liens clairs entre ces échecs et d'autres événements pertinents.
Par exemple, l'événement 4625 est généré lorsqu'un compte ne parvient pas à se connecter et l'événement 4624 est généré pour les connexions réussies, mais aucun de ces événements ne permet de savoir si le même compte a récemment connu les deux événements. Vous devez corréler l'événement 4625 avec l'événement 4624 en utilisant leurs identifiants de connexion respectifs pour le déterminer.
Il faut donc procéder à l'analyse et à la corrélation des événements Les outils natifs et les scripts PowerShell demandent de l'expertise et du temps lorsqu'ils sont utilisés à cette fin : voilà pourquoi un outil tiers est vraiment indispensable.
ADAudit Plus applique l'apprentissage machine pour créer une base de référence d'activités normales, spécifiques à chaque utilisateur. Le personnel de sécurité n'est averti qu'en cas d'écart par rapport à cette norme.
Par exemple, un utilisateur qui accède constamment à un serveur critique en dehors des horaires de bureau ne déclencherait pas une fausse alerte positive, car ce comportement est typique de cet utilisateur. D'autre part, si ce même utilisateur accédait à ce serveur à un moment où il ne l'a jamais fait avant, ADAudit Plus alerterait instantanément les équipes de sécurité même si cet accès a lieu pendant les horaires de travail normaux.
Si vous voulez explorer le produit vous-même, téléchargez-le gratuitement, avec une version d’évaluation de 30 jours totalement fonctionnelle.
Si vous voulez qu’un expert effectue une visite personnalisée du produit, planifiez une démonstration.
ManageEngine ADAudit Plus emploie du machine learning pour vous alerter lorsqu’un utilisateur ayant potentiellement des intentions malveillantes se connecte.