CSEC_PUBLIC/WELA
1
0
Fork 0
mirror of https://github.com/Yamato-Security/WELA.git synced 2026-02-21 06:25:29 +01:00
Code Issues Packages Projects Releases Wiki Activity
Files
dbefef06b0134ef0737a2759a31aa0ff8a71931e
WELA/README-Japanese.md
fukusuket dbefef06b0 doc: add readme
2025-05-12 11:57:28 +09:00

179 lines
8.5 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
<div align="center">
<p>
<img alt="WELA Logo" src="screenshots/WELA-Logo.png" width="20%">
<h1>
WELA (Windows Event Log Auditor) ゑ羅
</h1>
<div align="center">
[ <a href="README">English</a> ] | [<b>日本語</b>]
</div>
</p>
</div>
---
<p align="center">
<a href="https://github.com/Yamato-Security/wela/commits/main/"><img src="https://img.shields.io/github/commit-activity/t/Yamato-Security/wela/main" /></a>
<a href="https://twitter.com/SecurityYamato"><img src="https://img.shields.io/twitter/follow/SecurityYamato?style=social"/></a>
</p>
# WELAについて
**WELAWindows Event Log Analyzer、ゑ羅** は、Windowsイベントログの設定とログサイズを監査するツールです。
Windowsイベントログは、DFIRデジタルフォレンジックおよびインシデント対応に不可欠な情報源であり、システムの動作やセキュリティイベントを可視化します。
**しかし、デフォルト設定では、不十分なログサイズ、監査設定によって、脅威の検知漏れを引き起こす**可能性があります。
WELAはこうした課題を洗い出し、Windowsイベントログ設定改善のための実用的な提案を行います。
また、**実際のSigmaルールの検知範囲に基づいてWindowsイベントログ設定を評価**し、現状の設定で何が検知できるかを把握できます。
# 関連プロジェクト
* [EnableWindowsLogSettings](https://github.com/Yamato-Security/EnableWindowsLogSettings) Yamato SecurityのWindowsイベントログ設定ガイド
* [EventLog-Baseline-Guide](https://github.com/Yamato-Security/EventLog-Baseline-Guide) Sigmaルールと主要なガイドにおける検知ギャップを可視化するツール
* [WELA-RulesGenerator](https://github.com/Yamato-Security/WELA-RulesGenerator) WELAのSigmaルール関連設定ファイルを生成するためのツール
# 目次
- [WELAについて](#WELAについて)
- [関連プロジェクト](#関連プロジェクト)
- [目次](#目次)
- [スクリーンショット](#スクリーンショット)
- [機能](#機能)
- [前提要件](#前提要件)
- [ダウンロード](#ダウンロード)
- [WELAの実行](#WELAの実行)
- [コマンド一覧](#コマンド一覧)
- [コマンド使用例](#コマンド使用例)
- [audit-settings](#audit-settings)
- [audit-filesize](#audit-filesize)
- [update-rules](#update-rules)
- [Windowsイベントログの監査設定に関するその他の参考資料](#Windowsイベントログの監査設定に関するその他の参考資料)
- [貢献](#貢献)
- [不具合の報告](#不具合の報告)
- [ライセンス](#ライセンス)
- [貢献者](#貢献者)
- [謝辞](#ジャ時)
- [X](#X)
# スクリーンショット
## スタートアップ
![WELA Startup](screenshots/startup.png)
## audit-settings (stdout)
![WELA Stdout](screenshots/stdout.png)
## audit-settings (gui)
![WELA GUI](screenshots/gui.png)
## audit-settings (table)
![WELA Table](screenshots/table.png)
## audit-filesize
![WELA FileSize](screenshots/filesize.png)
# 機能
- Windows Event Log Audit policyに対する評価
- Checking **based on the major Windows Event Log Audit configuration guides**.
- Checking Windows Event Log audit settings based on **real-world Sigma rule detectability**.
- Audit Windows Event Log file sizes and suggest the recommended size.
# 前提要件
* PowerShell 5.1+
* PowerShellをAdministrator権限で実行する
# ダウンロード
[リリースページ](https://github.com/Yamato-Security/wela/releases)から最新の安定版WELAをダウンロードしてください。
# WELAの実行
1. [release zip file](https://github.com/Yamato-Security/wela/releases)を展開する。
2. **Administrator権限**でPowerShellを開く。
3. `./WELA.ps1 help`を実行する
# コマンド一覧
- `audit-settings`: Check Windows Event Log audit policy settings.
- `audit-filesize`: Check Windows Event Log file size.
- `update-rules`: Update WELA's Sigma rules config files.
# コマンド使用例
## audit-settings
`audit-settings` command checks the Windows Event Log audit policy settings and compares them with the recommended settings from [Yamato Security](https://github.com/Yamato-Security/EnableWindowsLogSettings), [Microsoft(Sever/Client)](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations), and [Australian Signals Directorate (ASD)](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/windows-event-logging-and-forwarding).
RuleCount indicates the number of [Sigma rules](https://github.com/SigmaHQ/sigma) that can detect events within that category.
#### `audit-settings` command examples
Check by YamatoSecurity(Default) recommend setting and save to CSV:
```
./WELA.ps1 audit-settings
```
Check by Australian Signals Directorate recommend setting and save to CSV:
```
./WELA.ps1 audit-settings -BaseLine ASD
```
Check by Microsoft recommend setting (Server) and Display results in GUI:
```
./WELA.ps1 audit-settings -BaseLine Microsoft_Server -OutType gui
```
Check by Microsoft recommend setting (Client) and Display results in Table format:
```
./WELA.ps1 audit-settings -BaseLine Microsoft_Client -OutType table
```
## audit-filesize
`audit-filesize` command checks the Windows Event Log file size and compares it with the recommended settings from **Yamato Security**.
#### `audit-filesize` command examples
Check Windows Event Log file size by YamatoSecurity recommended settings and save to CSV:
```
./WELA.ps1 audit-filesize
```
## update-rules
#### `update-rulese` command examples
Update WELA's Sigma rules config files:
```
./WELA.ps1 update-rules
```
# Windowsイベントログの監査設定に関するその他の参考資料
* [A Data-Driven Approach to Windows Advanced Audit Policy What to Enable and Why](https://www.splunk.com/en_us/blog/security/windows-audit-policy-guide.html)
* [Audit Policy Recommendations](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations)
* [Configure audit policies for Windows event logs](https://learn.microsoft.com/en-us/defender-for-identity/deploy/configure-windows-event-collection)
* [EnableWindowsLogSettings](https://github.com/Yamato-Security/EnableWindowsLogSettings)
* [Windows event logging and forwarding](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/windows-event-logging-and-forwarding)
* [mdecrevoisier/Windows-auditing-baseline](https://github.com/mdecrevoisier/Windows-auditing-baseline)
* [palantir/windows-event-forwarding](https://github.com/palantir/windows-event-forwarding/tree/master/group-policy-objects)
# 貢献
わたしたちは、どんな形でも貢献を歓迎します。
プルリクエスト、ルール作成、サンプルログの提供が最も歓迎されますが、バグの報告や機能リクエストなども大歓迎です。
少なくとも、**私たちのツールやリソースが気に入ったら、GitHubでスターをつけて応援してください**
# 不具合の報告
* 不具合の報告は、[こちら](https://github.com/Yamato-Security/wela/issues/new?assignees=&labels=bug&template=bug_report.md&title=%5Bbug%5D)からお願いします。
* このプロジェクトは現在も積極的にメンテナンスされており、バグの報告や機能のリクエストは大歓迎です。
# ライセンス
* WELAは、[MITライセンス](https://opensource.org/licenses/MIT)のもとでリリースされています。
# 貢献者
* Fukusuke Takahashi (core developer)
* Zach Mathis (project leader, tool design, testing, etc...) (@yamatosecurity)
# 謝辞
* [Australian Cyber Security Centre: Windows event logging and forwarding](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/windows-event-logging-and-forwarding)
* [Microsoft: Advanced security auditing FAQ](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/advanced-security-auditing-faq)
* [SigmaHQ](https://github.com/SigmaHQ/sigma)
# X
WELAの最新情報、ルールの更新、Yamato Securityの他のツールなどについては、X[@SecurityYamato](https://twitter.com/SecurityYamato)で発信しています。
Reference in New Issue View Git Blame Copy Permalink