8.5 KiB
WELAについて
WELA(Windows Event Log Analyzer、ゑ羅) は、Windowsイベントログの設定とログサイズを監査するツールです。 Windowsイベントログは、DFIR(デジタルフォレンジックおよびインシデント対応)に不可欠な情報源であり、システムの動作やセキュリティイベントを可視化します。 しかし、デフォルト設定では、不十分なログサイズ、監査設定によって、脅威の検知漏れを引き起こす可能性があります。 WELAはこうした課題を洗い出し、Windowsイベントログ設定改善のための実用的な提案を行います。 また、実際のSigmaルールの検知範囲に基づいてWindowsイベントログ設定を評価し、現状の設定で何が検知できるかを把握できます。
関連プロジェクト
- EnableWindowsLogSettings Yamato SecurityのWindowsイベントログ設定ガイド
- EventLog-Baseline-Guide Sigmaルールと主要なガイドにおける検知ギャップを可視化するツール
- WELA-RulesGenerator WELAのSigmaルール関連設定ファイルを生成するためのツール
目次
- WELAについて
- 関連プロジェクト
- 目次
- スクリーンショット
- 機能
- 前提要件
- ダウンロード
- WELAの実行
- コマンド一覧
- コマンド使用例
- Windowsイベントログの監査設定に関するその他の参考資料
- 貢献
- 不具合の報告
- ライセンス
- 貢献者
- 謝辞
- (#X)
スクリーンショット
スタートアップ
audit-settings (stdout)
audit-settings (gui)
audit-settings (table)
audit-filesize
機能
- Windows Event Log Audit policyに対する評価
- Checking based on the major Windows Event Log Audit configuration guides.
- Checking Windows Event Log audit settings based on real-world Sigma rule detectability.
- Audit Windows Event Log file sizes and suggest the recommended size.
前提要件
- PowerShell 5.1+
- PowerShellをAdministrator権限で実行する
ダウンロード
リリースページから最新の安定版WELAをダウンロードしてください。
WELAの実行
- release zip fileを展開する。
- Administrator権限でPowerShellを開く。
./WELA.ps1 helpを実行する
コマンド一覧
audit-settings: Check Windows Event Log audit policy settings.audit-filesize: Check Windows Event Log file size.update-rules: Update WELA's Sigma rules config files.
コマンド使用例
audit-settings
audit-settings command checks the Windows Event Log audit policy settings and compares them with the recommended settings from Yamato Security, Microsoft(Sever/Client), and Australian Signals Directorate (ASD).
RuleCount indicates the number of Sigma rules that can detect events within that category.
audit-settings command examples
Check by YamatoSecurity(Default) recommend setting and save to CSV:
./WELA.ps1 audit-settings
Check by Australian Signals Directorate recommend setting and save to CSV:
./WELA.ps1 audit-settings -BaseLine ASD
Check by Microsoft recommend setting (Server) and Display results in GUI:
./WELA.ps1 audit-settings -BaseLine Microsoft_Server -OutType gui
Check by Microsoft recommend setting (Client) and Display results in Table format:
./WELA.ps1 audit-settings -BaseLine Microsoft_Client -OutType table
audit-filesize
audit-filesize command checks the Windows Event Log file size and compares it with the recommended settings from Yamato Security.
audit-filesize command examples
Check Windows Event Log file size by YamatoSecurity recommended settings and save to CSV:
./WELA.ps1 audit-filesize
update-rules
update-rulese command examples
Update WELA's Sigma rules config files:
./WELA.ps1 update-rules
Windowsイベントログの監査設定に関するその他の参考資料
- A Data-Driven Approach to Windows Advanced Audit Policy – What to Enable and Why
- Audit Policy Recommendations
- Configure audit policies for Windows event logs
- EnableWindowsLogSettings
- Windows event logging and forwarding
- mdecrevoisier/Windows-auditing-baseline
- palantir/windows-event-forwarding
貢献
わたしたちは、どんな形でも貢献を歓迎します。 プルリクエスト、ルール作成、サンプルログの提供が最も歓迎されますが、バグの報告や機能リクエストなども大歓迎です。
少なくとも、私たちのツールやリソースが気に入ったら、GitHubでスターをつけて応援してください!
不具合の報告
- 不具合の報告は、こちらからお願いします。
- このプロジェクトは現在も積極的にメンテナンスされており、バグの報告や機能のリクエストは大歓迎です。
ライセンス
- WELAは、MITライセンスのもとでリリースされています。
貢献者
- Fukusuke Takahashi (core developer)
- Zach Mathis (project leader, tool design, testing, etc...) (@yamatosecurity)
謝辞
- Australian Cyber Security Centre: Windows event logging and forwarding
- Microsoft: Advanced security auditing FAQ
- SigmaHQ
X
WELAの最新情報、ルールの更新、Yamato Securityの他のツールなどについては、X@SecurityYamatoで発信しています。