Accueil

Journalisation et audit PowerShell

ADAudit Plus simplifie le suivi de l’activité PowerShell en transformant les données de journal d’événements brutes et imprécises en rapports et alertes en temps réel. Cela aide à surveiller facilement l’activité PowerShell.

Points forts de l’audit PowerShell avec ADAudit Plus

Analyse du code

Vérifiez les commandes et le contenu des scripts PowerShell exécutés dans l’environnement Windows Server.

Suivi des processus

Identifiez qui a exécuté un processus PowerShell, quand et d’où dans l’environnement.

Rapports de conformité prêts à l’audit

Automatisez la génération et la remise de rapports d’audit PowerShell pour répondre aux exigences de conformité.

Alertes de sécurité instantanées

Soyez avisé en temps réel par courrier ou SMS des événements clés, comme l’exécution d’un script particulier.

Journalisation et audit PowerShell avec des outils natifs

On utilise largement Windows PowerShell pour gérer des ressources Windows Server vitales comme les utilisateurs, les groupes, les GPO et les fichiers. Le suivi de l’activité PowerShell s’avère donc impératif. On peut suivre l’activité PowerShell de l’environnement en effectuant les trois étapes ci-dessous.

  •  
    Étape 1 : activer la journalisation de l’activité PowerShell

    PowerShell gère trois types de journalisation : journalisation des modules ou des blocs de script et transcription.

    • La journalisation des modules permet de définir les modules à enregistrer.
    • La journalisation des blocs de script enregistre le contenu de tous les blocs et informe sur l’utilisateur qui a exécuté les commandes PowerShell.
    • La transcription enregistre les commandes exécutées avec leurs résultats, mais pas le contenu des scripts exécutés ou la sortie vers d’autres destinations comme un système de fichiers.
    • Pour activer la journalisation des modules via la stratégie de groupe, accédez à Configuration de l’ordinateur → Stratégies → Modèles d’administration → Composants Windows → Windows PowerShell → Activer la journalisation des modules. Pour journaliser tous les modules, accédez à Activer la journalisation des modules → Options → Afficher et tapez * dans la fenêtre Noms de module.
    • Pour activer la journalisation des blocs de script via la stratégie de groupe, accédez à Configuration de l’ordinateur → Stratégies → Modèles d’administration → Composants Windows → Windows PowerShell → Activer la journalisation des blocs de script PowerShell.
    • Pour activer la transcription via la stratégie de groupe, accédez à Configuration de l’ordinateur → Stratégies → Modèles d’administration →Composants Windows → Windows PowerShell → Activer la transcription PowerShell. Pour enregistrer un horodatage pour chaque commande exécutée, accédez à Activer la transcription PowerShell et cochez la case Inclure en-têtes d’invocation.

    Conseil : on recommande d’activer au moins la journalisation des blocs de script pour suivre le code exécuté dans PowerShell.

  •  
    Étape 2 : configurer une taille de journal PowerShell adaptée

    Pour configurer la taille de journal PowerShell via la stratégie de groupe, accédez à Configuration de l’ordinateur → Préférences → Paramètres Windows. Effectuez un clic droit sur Registre,puis cliquez sur Nouveau → Élément de registre.Dans la fenêtre Nouvelles propriétés de registre :

    • Dans le champ Action cliquez sur Update from the drop-down.
    • Dans le champ Ruche cliquez sur HKEY_LOCAL_MACHINE dans la liste déroulante.
    • Dans le champ Chemin des clés, tapez SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PowerShell\Operational.
    • Dans le champ Nom de valeur désactivez la case à côté de Par défaut et tapez MaxSize.
    • Dans le champ Type de valeur, cliquez sur REG_DWORD dans la liste déroulante.
    • Dans le champ Données de valeur, entrez la valeur voulue.
    • Dans le champ Base choisissez Décimal.
    • Cliquez sur Appliquer.

    Conseil : la taille du journal d’événements PowerShell doit au moins être égale à 150 Mo pour veiller à conserver les données pendant une durée raisonnable.

  •  
    Étape 3 : suivre constamment les événements PowerShell

    Les journaux PowerShell figurent dans l’observateur d’événements sous
    Journaux d’application et de service → Microsoft → Windows → PowerShell → Opérationnel.

    • Les événements de journalisation des modules sont écrits sous ID d’événement 4103.
    • Les événements de journalisation des blocs de script sont écrits sous ID d’événement 4104.
    • Les journaux de transcription ne sont pas écrits sous un ID d’événement, mais stockés dans des fichiers texte plats à l’emplacement par défaut C:\Users\%USERNAME%\Documents.

    Conseil : compte tenu du très grand nombre d’événements générés, le suivi de l’activité PowerShell avec les outils natifs peut s’avérer chronophage. Une solution tierce comme ADAudit Plus aide à surmonter ce problème.

Surveiller l’activité PowerShell en quelques clics

  • 1
     

    Soyez avisé en temps réel par courrier ou SMS des événements clés, comme l’exécution d’un script particulier.

    2
     

    Automatisez les mesures correctives, comme l’arrêt d’un appareil

    Configuration d’alertes de sécurité instantanées

    Configuration d’alertes de sécurité instantanées
    Soyez avisé en temps réel par courrier ou SMS des événements clés, comme l’exécution d’un script particulier.
    Automatisez les mesures correctives, comme l’arrêt d’un appareil

  • 1
     

    Conservez une piste d’audit complète de l’auteur de l'opération, son objet, sa date et son origine.

    2
     

    Automatisez la génération et la remise de rapports pour répondre aux exigences de conformité.

    Rapports de conformité prêts à l’audit

    Rapports de conformité prêts à l’audit
    Automatisez la génération et la remise de rapports pour répondre aux exigences de conformité.
    Automatisez la génération et la remise de rapports pour répondre aux exigences de conformité.

Assurez un suivi complet de l’activité PowerShell
avec ADAudit Plus.

Obtenir une version d’évaluation gratuite

Maintenir la sécurité et la conformité de l’infrastructure (Active Directory, serveurs de fichiers, serveurs Windows et postes de travail) avec ADAudit Plus

Audit des modifications AD

Recevez des notifications en temps réel sur les modifications dans Active Directory sur site et Azure AD.

Suivi des connexions d’utilisateur

Vérifiez l’activité de connexion des utilisateurs en suivant tout, des échecs à l’historique de connexion.

 
Résolution des verrouillages de compte

Détectez instantanément les verrouillages et identifiez leur cause première en suivant l’origine des échecs d’authentification.

Analyse des utilisateurs privilégiés

Obtenez une piste d’audit globale de l’activité des administrateurs et d’autres utilisateurs privilégiés.

 
Suivi de l’accès aux fichiers

Vérifiez l’accès aux fichiers et aux dossiers Windows, NetApp, EMC et Synology.

 
Audit des serveurs membres Windows

Analysez l’activité de connexion/déconnexion locale, les modifications des utilisateurs locaux, des groupes, des droits d’utilisateur, etc.

Détection des menaces internes

Exploitez l’analyse comportementale des utilisateurs (UBA) pour déceler des anomalies selon des modèles d’activité.

 
Preuve de conformité

Automatisez la génération de rapports détaillés et prouvez la conformité avec des normes comme SOX, le RGPD et d’autres.