WELA

Windows Event Log Analyzer) vise à être le couteau suisse pour les journaux d'événements Windows. Actuellement, la plus grande fonctionnalité de WELA consiste à créer un calendrier de connexion facile à analyser afin d'aider à la criminalistique rapide et à la réponse aux incidents. Le générateur de chronologie de la connexion de WELA ne consolisera que les informations utiles dans plusieurs entrées de journal de connexion (4624, 4634, 4647, 4672, 4776) en événements uniques, effectuera une réduction des données en ignorant environ 90% du bruit et convertira les données difficiles à lire (comme les codes de statut hexagonal) en format humain lisible.

Testé sur Windows PowerShell 5.1 mais peut fonctionner avec les versions précédentes. Il ne fonctionnera malheureusement pas avec PowerShell Core car il n'y a pas de fonctionnalité intégrée pour lire les journaux d'événements Windows.

** Remarques: ** La dernière conformité des règles Sigma à Wela est en juillet 2021.Si vous souhaitez utiliser les dernières règles Sigma pour la détection EVTX, veuillez utiliser Hayabusa. **

• Écrit dans PowerShell, il est donc facile à lire et à personnaliser.
• Générateur de calendrier de connexion rapide Fast
  • Détecter le mouvement latéral, l'utilisation du système, les connexions suspectes, l'utilisation du protocole vulnérable, etc ...
  • 90% + réduction du bruit pour les événements de connexion
  • Calculer le temps écoulé de connexion
  • Analyse de l'interface graphique
  • Résumé du type de connexion
• Analyse en direct et analyse hors ligne
• Soutien japonais
• Statistiques d'identification de l'événement
• Sortie vers CSV pour analyser dans Timeline Explorer, etc ...
• Analyser l'utilisation du NTLM avant de désactiver NTLM
• Règles sigma
• Règles de détection d'attaque personnalisées
• Analyse à distance
• Statistiques de connexion

Pour le moment, veuillez utiliser un Windows PowerShell 5.1. Vous aurez besoin d'un accès administrateur local pour l'analyse en direct.

    Analysis Source (Specify one):
        - LiveAnalysis : Creates a timeline based on the live host ' s log
        -LogFile <path-to-logfile> : Creates a timelime from an offline .evtx file
        -LogDirectory <path-to-logfiles> (Warning: not fully implemented.) : Analyze offline .evtx files
        -RemoteLiveAnalysis : Creates a timeline based on the remote host ' s log

    Analysis Type (Specify one):
        - AnalyzeNTLM_UsageBasic : Returns basic NTLM usage based on the NTLM Operational log
        - AnalyzeNTLM_UsageDetailed : Returns detailed NTLM usage based on the NTLM Operational log
        - SecurityEventID_Statistics : Output event ID statistics
        - EasyToReadSecurityLogonTimeline : Output essy to read event ID statics
        - SecurityLogonTimeline : Output a condensed timeline of user logons based on the Security log
        - SecurityAuthenticationSummary : Output a summary of authentication events for each logon type based on the Security log

    Analysis Options:
        - StartTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the start of the timeline
        - EndTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the end of the timeline

    - LogonTimeline Analysis Options:
        - IsDC : Specify if the logs are from a DC

    Output Types ( Default : Standard Output):
        - SaveOutput < outputfile - path > : Output results to a text file
        - OutputCSV : Outputs to CSV
        - OutputGUI : Outputs to the Out-GridView GUI

    General Output Options:
        - USDateFormat : Output the dates in MM - DD - YYYY format ( Default : YYYY - MM - DD)
        - EuropeDateFormat : Output the dates in DD - MM - YYYY format ( Default : YYYY - MM - DD)
        - UTC : Output in UTC time ( default is the local timezone)
        - Japanese : Output in Japanese

    - LogonTimeline Output Options:
        - HideTimezone : Hides the timezone
        - ShowLogonID : Show logon IDs

    Other:
        - ShowContributors : Show the contributors
        - QuietLogo : Do not display the WELA logo

. / WELA.ps1 - LogFile .Security.evtx - SecurityEventID_Statistics

.WELA.ps1 - LogFile .Security.evtx - SecurityLogonTimeline - OutputGUI - UTC

.WELA.ps1 - LogFile .DC1 - NTLM - Operational.evtx - AnalyzeNTLM_UsageBasic

.WELA.ps1 - LiveAnalysis - SecurityAuthenticationSummary

• APT-HUNTER - Outil de détection d'attaque écrite en Python.
• Chains de la tronçonneuse - outil de détection d'attaque à base de Sigma écrite en rouille.
• DeepBluecli - Outil de détection d'attaque écrite dans PowerShell.
• EVTX Attack Samples - EVTX Attack Example Exemple de fichiers de journal d'événements.
• HAYABUSA - Générateur de chronologie de la criminalistique basée sur Sigma et Fast Forensics par Yamato Security.
• Rustyblue Rust Port de Deepbluecli.
• Sigma - règles génériques SIEM.
• So-IMPORT-EVTX - Importez des fichiers EVTX dans l'oignon de sécurité.
• Outil de détection d'attaque à base de zircolite - Sigma écrit en python.

Nous aimerions toute forme de contribution. Les demandes de traction sont les meilleures, mais les demandes de fonctionnalités, nous informer des bogues, etc ... sont également les bienvenues.