الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

شعار ويلا

ويلا (محلل سجل الأحداث Windows) ゑ羅

[ الإنجليزية ] | [日本語]

يهدف محلل سجل الأحداث Windows) إلى أن يكون سكين الجيش السويسري لسجلات أحداث Windows. حاليًا ، تتمثل أعظم وظائف Wela في إنشاء جدول زمني لتسجيل التحليل من أجل التسجيل للمساعدة في الطب الشرعي السريع والاستجابة للحوادث. سيقوم مولد خط الزمني بتسجيل الدخول من Wela بتوحيد المعلومات المفيدة فقط في إدخالات سجل تسجيل الدخول المتعددة (4624 ، 4634 ، 4647 ، 4672 ، 4776) في أحداث واحدة ، وإجراء تخفيض البيانات عن طريق تجاهل حوالي 90 ٪ من الضوضاء ، وسيقوم بتحويل أي بيانات صعبة (مثل رموز حالة HEX) إلى شكل قابلة للقراءة البشرية.

تم اختباره على Windows PowerShell 5.1 ولكن قد يعمل مع الإصدارات السابقة. لن تعمل للأسف مع PowerShell Core حيث لا توجد وظائف مدمجة لقراءة سجلات أحداث Windows.

سمات

** ملاحظات: ** آخر امتثال لقاعدة Sigma في ويل هو يوليو 2021. إذا كنت ترغب في استخدام أحدث قواعد Sigma للكشف عن Evtx ، يرجى استخدام Hayabusa. **

  • مكتوبة في PowerShell لذلك من السهل القراءة والتخصيص.
  • مولد الجدول الزمني لتسجيل الدخول إلى الطب الشرعي السريع
    • اكتشف الحركة الجانبية ، واستخدام النظام ، والمسجلات المشبوهة ، واستخدام البروتوكول الضعيف ، وما إلى ذلك ...
    • 90 ٪+ تقليل الضوضاء لأحداث تسجيل الدخول
    • احسب الوقت المنقضي لوجون
    • تحليل واجهة المستخدم الرسومية
    • ملخص نوع تسجيل الدخول
  • التحليل المباشر والتحليل غير المتصلة بالإنترنت
  • الدعم الياباني
  • إحصائيات معرف الحدث
  • الإخراج إلى CSV للتحليل في مستكشف الجدول الزمني ، إلخ ...
  • تحليل استخدام NTLM قبل تعطيل NTLM
  • قواعد سيجما
  • قواعد الكشف عن الهجوم المخصص
  • التحليل البعيد
  • إحصائيات تسجيل الدخول

الاستخدام

في الوقت الحالي ، يرجى استخدام Windows PowerShell 5.1. ستحتاج إلى وصول المسؤول المحلي للتحليل المباشر. 

    Analysis Source (Specify one):
        - LiveAnalysis : Creates a timeline based on the live host ' s log
        -LogFile <path-to-logfile> : Creates a timelime from an offline .evtx file
        -LogDirectory <path-to-logfiles> (Warning: not fully implemented.) : Analyze offline .evtx files
        -RemoteLiveAnalysis : Creates a timeline based on the remote host ' s log

    Analysis Type (Specify one):
        - AnalyzeNTLM_UsageBasic : Returns basic NTLM usage based on the NTLM Operational log
        - AnalyzeNTLM_UsageDetailed : Returns detailed NTLM usage based on the NTLM Operational log
        - SecurityEventID_Statistics : Output event ID statistics
        - EasyToReadSecurityLogonTimeline : Output essy to read event ID statics
        - SecurityLogonTimeline : Output a condensed timeline of user logons based on the Security log
        - SecurityAuthenticationSummary : Output a summary of authentication events for each logon type based on the Security log

    Analysis Options:
        - StartTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the start of the timeline
        - EndTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the end of the timeline

    - LogonTimeline Analysis Options:
        - IsDC : Specify if the logs are from a DC

    Output Types ( Default : Standard Output):
        - SaveOutput < outputfile - path > : Output results to a text file
        - OutputCSV : Outputs to CSV
        - OutputGUI : Outputs to the Out-GridView GUI

    General Output Options:
        - USDateFormat : Output the dates in MM - DD - YYYY format ( Default : YYYY - MM - DD)
        - EuropeDateFormat : Output the dates in DD - MM - YYYY format ( Default : YYYY - MM - DD)
        - UTC : Output in UTC time ( default is the local timezone)
        - Japanese : Output in Japanese

    - LogonTimeline Output Options:
        - HideTimezone : Hides the timezone
        - ShowLogonID : Show logon IDs

    Other:
        - ShowContributors : Show the contributors
        - QuietLogo : Do not display the WELA logo

خيارات مفيدة

إظهار إحصائيات معرف الحدث للحصول على فهم أي نوع من الأحداث الموجودة: 

. / WELA.ps1 - LogFile .Security.evtx - SecurityEventID_Statistics

قم بإنشاء جدول زمني عبر تحليل غير متصل بالإنترنت إلى واجهة المستخدم الرسومية في وقت UTC: 

.WELA.ps1 - LogFile .Security.evtx - SecurityLogonTimeline - OutputGUI - UTC

تحليل السجلات التشغيلية NTLM لاستخدام NTLM قبل تعطيلها: 

.WELA.ps1 - LogFile .DC1 - NTLM - Operational.evtx - AnalyzeNTLM_UsageBasic

إحصائيات تسجيل الدخول الأمنية على آلة الحية: 

.WELA.ps1 - LiveAnalysis - SecurityAuthenticationSummary

لقطات الشاشة

Logon الجدول الزمني واجهة المستخدم الرسومية:

Logon الجدول الزمني واجهة المستخدم الرسومية

الجدول الزمني القابل للقراءة البشرية:

Logon الجدول الزمني واجهة المستخدم الرسومية

إحصائيات نوع تسجيل الدخول:

إحصائيات تسجيل الدخول

إحصائيات معرف الحدث:

إحصائيات معرف الحدث

ملخص نوع تسجيل الدخول:

ملخص نوع تسجيل الدخول

تحليل مصادقة NTLM:

ملخص نوع تسجيل الدخول

مشاريع صيد تهديدات سجل أحداث Windows ذات الصلة

  • Apt -Hunter - أداة الكشف عن الهجوم المكتوبة في Python.
  • منشار - أداة الكشف عن الهجوم القائمة على سيغما مكتوبة في الصدأ.
  • Deepbluecli - أداة الكشف عن الهجوم المكتوبة في PowerShell.
  • عينات هجوم evtx - ملفات سجل الحدث Evtx Attack.
  • هايابوسا - اكتشاف الهجوم القائم على سيجما ومولد الجدول الزمني للطب الشرعي السريع من قبل ياماتو أمن.
  • RustyBlue Rust Port of Deepbluecli.
  • Sigma - قواعد SIEM العامة.
  • SO-IMPORT-EVTX-استيراد ملفات EVTX في البصل الأمان.
  • الزركوليت - أداة الكشف عن الهجوم المستندة إلى سيجما مكتوبة في بيثون.

مساهمة

نود أي شكل من أشكال المساهمة. طلبات السحب هي أفضل طلبات الميزات ، وإخطارنا بالبق ، وما إلى ذلك ... أيضًا موضع ترحيب كبير.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل