diff --git a/README-Japanese.md b/README-Japanese.md index eac3271d..b14f297c 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -45,6 +45,7 @@ WELAはこうした課題を洗い出し、Windowsイベントログ設定改善 - [audit-settings (gui)](#audit-settings-gui) - [audit-settings (table)](#audit-settings-table) - [audit-filesize](#audit-filesize) + - [configure](#configure) - [機能](#機能) - [前提要件](#前提要件) - [ダウンロード](#ダウンロード) @@ -55,6 +56,8 @@ WELAはこうした課題を洗い出し、Windowsイベントログ設定改善 - [`audit-settings` command examples](#audit-settings-command-examples) - [audit-filesize](#audit-filesize-1) - [`audit-filesize` command examples](#audit-filesize-command-examples) + - [configure](#configure) + - [`configure` command examples](#configure-command-examples) - [update-rules](#update-rules) - [`update-rules` command examples](#update-rules-command-examples) - [Windowsイベントログの監査設定に関するその他の参考資料](#windowsイベントログの監査設定に関するその他の参考資料) @@ -81,11 +84,15 @@ WELAはこうした課題を洗い出し、Windowsイベントログ設定改善 ## audit-filesize ![WELA FileSize](screenshots/filesize.png) +## configure +![WELA Configure](screenshots/configure.png) + # 機能 - Windows Event Log Audit policyに対する評価 - 主要なWindowsイベントログ監査設定ガイドに基づくチェック - Windows Event Logの監査設定を、実際のSigmaルールの検知範囲に基づいて評価 - Windows Event Logのファイルサイズを監査し、推奨サイズを提案 +- 推奨されるWindowsイベントログ監査ポリシーとファイルサイズの設定 # 前提要件 * PowerShell 5.1+ @@ -103,6 +110,7 @@ WELAはこうした課題を洗い出し、Windowsイベントログ設定改善 # コマンド一覧 - `audit-settings`: Windowsイベントログ監査ポリシー設定を評価する - `audit-filesize`: Windowsイベントログファイルサイズを評価する +- `configure`: 推奨のWindowsイベントログ監査ポリシーとファイズサイズを設定する - `update-rules`: WELAのSigmaルール設定ファイルを更新する # コマンド使用例 @@ -113,7 +121,7 @@ RuleCountは、そのカテゴリ内のイベントを検出できる[Sigmaル #### `audit-settings` command examples YamatoSecurityの推奨設定でチェックし、CSV形式で保存する: ``` -./WELA.ps1 audit-settings +./WELA.ps1 audit-settings -BaseLine YamatoSecurity ``` Australian Signals Directorateの推奨設定でチェックし、CSV形式で保存する: @@ -132,12 +140,26 @@ Microsoftの推奨設定(Client)でチェックし、Table形式で表示する: ``` ## audit-filesize -`audit-filesize`コマンドは、Windowsイベントログファイルサイズを評価し、**Yamato Security**の推奨設定と比較します。 +`audit-filesize`コマンドは、Windowsイベントログファイルサイズを評価し、Yamato Securityの推奨設定と比較します。 #### `audit-filesize` command examples WindowsイベントログファイルサイズをYamatoSecurityの推奨設定でチェックし、CSV形式で保存する: ``` -./WELA.ps1 audit-filesize +./WELA.ps1 audit-filesize --BaseLine YamatoSecurity +``` + +## configure +`configure`コマンドは、推奨のWindowsイベントログ監査ポリシーとファイルサイズを設定します。 + +#### `configure` command examples +Yamato Securityの推奨設定を適用する(設定変更時に確認プロンプトを表示): +``` +./WELA.ps1 configure --BaseLine YamatoSecurity +``` + +Australian Signals Directorateの推奨設定を自動で適用する: +``` +./WELA.ps1 configure --BaseLine ASD -auto ``` ## update-rules diff --git a/README.md b/README.md index a824c813..8342023e 100644 --- a/README.md +++ b/README.md @@ -45,6 +45,7 @@ WELA also assesses log configurations **based on real-world Sigma rule coverage* - [audit-settings (GUI)](#audit-settings-gui) - [audit-settings (table)](#audit-settings-table) - [audit-filesize](#audit-filesize) + - [configure](#configure) - [Features](#features) - [Prerequisites](#prerequisites) - [Downloads](#downloads) @@ -55,6 +56,8 @@ WELA also assesses log configurations **based on real-world Sigma rule coverage* - [`audit-settings` command examples](#audit-settings-command-examples) - [audit-filesize](#audit-filesize-1) - [`audit-filesize` command examples](#audit-filesize-command-examples) + - [configure](#configure) + - [`configure` command examples](#configure-command-examples) - [update-rules](#update-rules) - [`update-rules` command examples](#update-rules-command-examples) - [Other Windows Event Log Audit Settings Related Resources](#other-windows-event-log-audit-settings-related-resources) @@ -81,11 +84,15 @@ WELA also assesses log configurations **based on real-world Sigma rule coverage* ## audit-filesize ![WELA FileSize](screenshots/filesize.png) +## configure +![WELA Configure](screenshots/configure.png) + # Features - Auditing Windows event log audit policy settings. - Checking **based on the major Windows event log audit configuration guidelines**. - Checking Windows event log audit settings based on **real-world Sigma rule detectability**. - Auditing of Windows event log file sizes and suggestions for the recommended size. +- Setting recommended Windows event log audit policy and file sizes. # Prerequisites * Windows PowerShell 5.1 or PowerShell Core @@ -103,6 +110,7 @@ Please download the latest stable version of WELA from the [Releases](https://gi # Command List - `audit-settings`: Check Windows event log audit policy settings. - `audit-filesize`: Check Windows event log file size. +- `configure`: Configure recommended Windows event log audit policy and file size. - `update-rules`: Update WELA's Sigma rules config files. # Command Usage @@ -113,7 +121,7 @@ The `audit-settings` command checks the Windows event log audit policy settings ### `audit-settings` command examples Check with the default Yamato Security's recommended settings and save results to CSV: ``` -./WELA.ps1 audit-settings +./WELA.ps1 audit-settings -BaseLine YamatoSecurity ``` Check with the Australian Signals Directorate's recommended settings and save results to CSV: @@ -137,9 +145,24 @@ The `audit-filesize` command checks the Windows event logs' file size and compar ### `audit-filesize` command examples Check the Windows event log file size with Yamato Security's recommendations and save results to CSV: ``` -./WELA.ps1 audit-filesize +./WELA.ps1 audit-filesize -BaseLine YamatoSecurity ``` +## configure +The `configure` command sets the recommended Windows event log audit policy and file size. + +#### `configure` command examples +Apply Yamato Security's recommended settings (with confirmation prompt before changing settings): +``` +./WELA.ps1 configure --BaseLine YamatoSecurity +``` + +Apply Australian Signals Directorate's recommended settings without confirmation prompt: +``` +./WELA.ps1 configure --BaseLine ASD -auto +``` + + ## update-rules #### `update-rules` command examples Update WELA's Sigma rules config files: