Protection 🛡️ Centraliser les journaux Windows 10/11 avec un SIEM sécurisé

[Sylvain*]

Centraliser les journaux Windows 10/11 avec un SIEM sécurisé

Introduction

L’intégration d’un SIEM (Security Information and Event Management) permet de centraliser les journaux d’événements Windows pour améliorer la détection d’incidents de sécurité. Ce tutoriel décrit comment configurer un hôte Windows 10/11 pour qu’il envoie ses journaux à une solution SIEM, comme Wazuh, Splunk ou Microsoft Sentinel.

---

Prérequis

• Connaissance approfondie de Windows

• Expérience avec une solution SIEM (Wazuh, Splunk, Sentinel…)

• Accès administrateur sur les hôtes Windows et sur le SIEM

---

Procédure

• Étape #1 : Choisir une solution SIEM adaptée

• Étape #2 : Configurer le service de journalisation Windows

• Étape #3 : Installer un agent de collecte (Wazuh Agent, Splunk UF…)

• Étape #4 : Associer l’agent au serveur SIEM

• Étape #5 : Vérifier la réception et la qualité des logs

---

Niveau de difficulté

• Étape #1 : Facile

• Étape #2 : Moyen

• Étape #3 : Difficile

• Étape #4 : Moyen

• Étape #5 : Facile

---

Les Avantages

• Étape #1 : Permet une sélection adaptée à l’architecture existante

• Étape #2 : Active les journaux pertinents pour la sécurité

• Étape #3 : Automatise la transmission des logs

• Étape #4 : Centralise les événements pour corrélation

• Étape #5 : Valide le bon fonctionnement du flux

---

Les Inconvénients

• Étape #1 : Certaines solutions SIEM sont coûteuses

• Étape #2 : Risque de surcharge si trop de journaux sont activés

• Étape #3 : L’installation peut échouer si l’agent est mal configuré

• Étape #4 : Nécessite des ports ouverts entre agent et serveur

• Étape #5 : Exige un suivi régulier pour éviter les pertes de logs

---

Étape #1

Définir les besoins : budget, conformité, capacité d’analyse

Comparer les solutions : Wazuh, Splunk, Sentinel, Graylog

Choisir selon les critères de sécurité et scalabilité

Déployer le serveur SIEM en environnement sécurisé

---

Étape #2

Ouvrir la stratégie locale

secpol.msc

Activer la stratégie Audit des objets sensibles

Dans

gpedit.msc

configurer Journalisation avancée

Redémarrer le service journal des événements

Restart-Service EventLog

---

Étape #3

Télécharger l’agent correspondant à votre SIEM

Exemple Wazuh :

https://packages.wazuh.com/4.x/windows/wazuh-agent.exe

Lancer l’installation en ligne de commande

wazuh-agent.exe /q

Configurer le fichier

ossec.conf

avec l’adresse du serveur

---

Étape #4

Vérifier que le port d’écoute est ouvert ex :

1514/udp

Redémarrer le service agent

net stop wazuh-agent

net start wazuh-agent

Sur le serveur SIEM, vérifier l’arrivée des événements

Marquer l’agent comme actif dans l’interface SIEM

---

Étape #5

Ouvrir l’observateur d’événements sur le poste client

Confirmer que les logs sont générés

Comparer avec les logs reçus dans le SIEM

Ajuster les règles pour ignorer les logs inutiles

---

Astuce

Ajoutez une règle pour capturer les événements

EID 4624

(connexion réussie) et

EID 4688

(exécution de processus) pour renforcer la surveillance

---

Mise en garde

Une surcharge du SIEM par excès de logs peut compromettre l’analyse des incidents critiques

---

Conseil

Commencez par une intégration de logs critiques uniquement, puis étendez progressivement la couverture du SIEM

---

Solutions alternatives

• agent wazuh windows 11

• agent splunk windows 10

• intégration microsoft sentinel windows poste client

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion
L’intégration d’un poste Windows 10/11 à un SIEM est une mesure stratégique pour renforcer la détection des incidents. En centralisant les événements critiques, cette configuration permet d’anticiper les menaces et de réagir efficacement à tout comportement anormal.