11 KiB
WELAについて
WELA(Windows Event Log Analyzer、ゑ羅) は、Windowsイベントログの設定とログサイズを監査するツールです。 Windowsイベントログは、DFIR(デジタルフォレンジックおよびインシデント対応)に不可欠な情報源であり、システムの動作やセキュリティイベントを可視化します。 しかし、デフォルト設定では、不十分なログサイズ、監査設定によって、脅威の検知漏れを引き起こす可能性があります。 WELAはこうした課題を洗い出し、Windowsイベントログ設定改善のための実用的な提案を行います。 また、実際のSigmaルールの検知範囲に基づいてWindowsイベントログ設定を評価し、現状の設定で何が検知できるかを把握できます。
関連プロジェクト
- EnableWindowsLogSettings Yamato SecurityのWindowsイベントログ設定ガイド
- EventLog-Baseline-Guide Sigmaルールと主要なガイドにおける検知ギャップを可視化するツール
- WELA-RulesGenerator WELAのSigmaルール関連設定ファイルを生成するためのツール
目次
- WELAについて
- 関連プロジェクト
- 目次
- スクリーンショット
- 機能
- 前提要件
- ダウンロード
- WELAの実行
- コマンド一覧
- コマンド使用例
- Windowsイベントログの監査設定に関するその他の参考資料
- 貢献
- 不具合の報告
- ライセンス
- 貢献者
- 謝辞
- (#x)
スクリーンショット
スタートアップ
audit-settings (stdout)
audit-settings (gui)
audit-settings (table)
audit-settings (mitre-attack-navigator)
audit-filesize
configure
機能
- Windows Event Log Audit policyに対する評価
- 主要なWindowsイベントログ監査設定ガイドに基づくチェック
- Windows Event Logの監査設定を、実際のSigmaルールの検知範囲に基づいて評価
- Windows Event Logのファイルサイズを監査し、推奨サイズを提案
- 推奨されるWindowsイベントログ監査ポリシーとファイルサイズの設定
前提要件
- PowerShell 5.1+
- PowerShellをAdministrator権限で実行する
ダウンロード
リリースページから最新の安定版WELAをダウンロードしてください。
WELAの実行
- release zip fileを展開する。
- Administrator権限でPowerShellを開く。
./WELA.ps1 helpを実行する
コマンド一覧
audit-settings: Windowsイベントログ監査ポリシー設定を評価するaudit-filesize: Windowsイベントログファイルサイズを評価するconfigure: 推奨のWindowsイベントログ監査ポリシーとファイズサイズを設定するupdate-rules: WELAのSigmaルール設定ファイルを更新する
コマンド使用例
audit-settings
audit-settingsコマンドは、Windowsイベントログ監査ポリシー設定を評価し、Yamato Security、Microsoft(Sever/Client)、Australian Signals Directorate (ASD)の推奨設定と比較します。
RuleCountは、そのカテゴリ内のイベントを検出できるSigmaルールの数を示します。
audit-settings command examples
YamatoSecurityの推奨設定でチェックし、CSV形式で保存する:
./WELA.ps1 audit-settings -Baseline YamatoSecurity
Australian Signals Directorateの推奨設定でチェックし、CSV形式で保存する:
./WELA.ps1 audit-settings -Baseline ASD
Microsoftの推奨設定(Server)でチェックし、GUI形式で表示する:
./WELA.ps1 audit-settings -Baseline Microsoft_Server -OutType gui
Microsoftの推奨設定(Client)でチェックし、Table形式で表示する:
./WELA.ps1 audit-settings -Baseline Microsoft_Client -OutType table
audit-filesize
audit-filesizeコマンドは、Windowsイベントログファイルサイズを評価し、Yamato Securityの推奨設定と比較します。
audit-filesize command examples
WindowsイベントログファイルサイズをYamatoSecurityの推奨設定でチェックし、CSV形式で保存する:
./WELA.ps1 audit-filesize --Baseline YamatoSecurity
configure
configureコマンドは、推奨のWindowsイベントログ監査ポリシーとファイルサイズを設定します。
configure command examples
Yamato Securityの推奨設定を適用する(設定変更時に確認プロンプトを表示):
./WELA.ps1 configure --Baseline YamatoSecurity
Australian Signals Directorateの推奨設定を自動で適用する:
./WELA.ps1 configure --Baseline ASD -auto
update-rules
update-rules command examples
WELAのSigmaルール設定ファイルを更新する:
./WELA.ps1 update-rules
Windowsイベントログの監査設定に関するその他の参考資料
- A Data-Driven Approach to Windows Advanced Audit Policy – What to Enable and Why
- Audit Policy Recommendations
- Configure audit policies for Windows event logs
- EnableWindowsLogSettings
- Windows event logging and forwarding
- mdecrevoisier/Windows-auditing-baseline
- palantir/windows-event-forwarding
貢献
わたしたちは、どんな形でも貢献を歓迎します。 プルリクエスト、ルール作成、サンプルログの提供が最も歓迎されますが、バグの報告や機能リクエストなども大歓迎です。
少なくとも、私たちのツールやリソースが気に入ったら、GitHubでスターをつけて応援してください!
不具合の報告
- 不具合の報告は、こちらからお願いします。
- このプロジェクトは現在も積極的にメンテナンスされており、バグの報告や機能のリクエストは大歓迎です。
ライセンス
- WELAは、MITライセンスのもとでリリースされています。
貢献者
- Fukusuke Takahashi (コア開発者)
- Zach Mathis (プロジェクトリーダー, ツールデザイン, テスト, など...) (@yamatosecurity)
謝辞
- Australian Cyber Security Centre: Windows event logging and forwarding
- Microsoft: Advanced security auditing FAQ
- SigmaHQ
X
WELAの最新情報、ルールの更新、Yamato Securityの他のツールなどについては、X@SecurityYamatoで発信しています。