홈페이지>프로그래밍 관련>기타 소스코드
다운로드

웰라 로고

WELA (Windows Event Log Analyzer) ゑ羅

[ 영어 ] | [日本語]

Windows Event Log Analyzer)는 Windows 이벤트 로그 용 스위스 군대 나이프가되는 것을 목표로합니다. 현재 Wela의 가장 큰 기능은 빠른 법의학 및 사고 대응을 돕기 위해 분석하기 쉬운 로그온 타임 라인을 만들고 있습니다. WELA의 로그온 타임 라인 생성기는 여러 로그온 로그 항목 (4624, 4634, 4647, 4672, 4776)에서 단일 이벤트로 유용한 정보 만 통합하고 노이즈의 약 90%를 무시하여 데이터 감소를 수행하며, 읽기 데이터 (예 : HEX 상태 코드)를 인간 읽기 가능한 형식으로 변환합니다.

Windows PowerShell 5.1에서 테스트되었지만 이전 버전에서 작동 할 수 있습니다. 불행히도 Windows 이벤트 로그를 읽는 내장 기능이 없으므로 PowerShell Core에서는 작동하지 않습니다.

특징

** 참고 : ** WELA의 마지막 시그마 규칙 준수는 2021 년 7 월입니다. EVTX 감지에 최신 시그마 규칙을 사용하려면 hayabusa를 사용하십시오. **.

  • PowerShell로 작성하여 읽고 사용자 정의하기 쉽습니다.
  • 빠른 법의학 로그온 타임 라인 생성기
    • 측면 이동, 시스템 사용, 의심스러운 로그온, 취약한 프로토콜 사용 등을 감지하십시오 ...
    • 로그온 이벤트의 90%+ 노이즈 감소
    • 로그온 경과 시간을 계산하십시오
    • GUI 분석
    • 로그온 유형 요약
  • 라이브 분석 및 오프라인 분석
  • 일본 지원
  • 이벤트 ID 통계
  • 타임 라인 탐색기 등을 분석하려면 CSV에 출력 ...
  • NTLM을 비활성화하기 전에 NTLM 사용을 분석하십시오
  • 시그마 규칙
  • 맞춤형 공격 탐지 규칙
  • 원격 분석
  • 로그온 통계

용법

현재 Windows PowerShell 5.1을 사용하십시오. 라이브 분석을 위해 현지 관리자 액세스가 필요합니다. 

    Analysis Source (Specify one):
        - LiveAnalysis : Creates a timeline based on the live host ' s log
        -LogFile <path-to-logfile> : Creates a timelime from an offline .evtx file
        -LogDirectory <path-to-logfiles> (Warning: not fully implemented.) : Analyze offline .evtx files
        -RemoteLiveAnalysis : Creates a timeline based on the remote host ' s log

    Analysis Type (Specify one):
        - AnalyzeNTLM_UsageBasic : Returns basic NTLM usage based on the NTLM Operational log
        - AnalyzeNTLM_UsageDetailed : Returns detailed NTLM usage based on the NTLM Operational log
        - SecurityEventID_Statistics : Output event ID statistics
        - EasyToReadSecurityLogonTimeline : Output essy to read event ID statics
        - SecurityLogonTimeline : Output a condensed timeline of user logons based on the Security log
        - SecurityAuthenticationSummary : Output a summary of authentication events for each logon type based on the Security log

    Analysis Options:
        - StartTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the start of the timeline
        - EndTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the end of the timeline

    - LogonTimeline Analysis Options:
        - IsDC : Specify if the logs are from a DC

    Output Types ( Default : Standard Output):
        - SaveOutput < outputfile - path > : Output results to a text file
        - OutputCSV : Outputs to CSV
        - OutputGUI : Outputs to the Out-GridView GUI

    General Output Options:
        - USDateFormat : Output the dates in MM - DD - YYYY format ( Default : YYYY - MM - DD)
        - EuropeDateFormat : Output the dates in DD - MM - YYYY format ( Default : YYYY - MM - DD)
        - UTC : Output in UTC time ( default is the local timezone)
        - Japanese : Output in Japanese

    - LogonTimeline Output Options:
        - HideTimezone : Hides the timezone
        - ShowLogonID : Show logon IDs

    Other:
        - ShowContributors : Show the contributors
        - QuietLogo : Do not display the WELA logo

유용한 옵션

이벤트 ID 통계를 표시하여 어떤 종류의 이벤트가 있는지 이해하십시오. 

. / WELA.ps1 - LogFile .Security.evtx - SecurityEventID_Statistics

UTC 시간에 GUI에 출력 된 오프라인 분석을 통해 타임 라인을 만듭니다. 

.WELA.ps1 - LogFile .Security.evtx - SecurityLogonTimeline - OutputGUI - UTC

비활성화하기 전에 NTLM 사용에 대한 NTLM 운영 로그를 분석하십시오. 

.WELA.ps1 - LogFile .DC1 - NTLM - Operational.evtx - AnalyzeNTLM_UsageBasic

라이브 컴퓨터의 보안 로그온 통계 : 

.WELA.ps1 - LiveAnalysis - SecurityAuthenticationSummary

스크린 샷

로그온 타임 라인 GUI :

로그온 타임 라인 GUI

인간 읽기 쉬운 타임 라인 :

로그온 타임 라인 GUI

로그온 유형 통계 :

로그온 통계

이벤트 ID 통계 :

이벤트 ID 통계

로그온 유형 요약 :

로그온 유형 요약

NTLM 인증 분석 :

로그온 유형 요약

관련 Windows 이벤트 로그 위협 사냥 프로젝트

  • APT -HUNTER- 파이썬으로 작성된 공격 탐지 도구.
  • 전기 톱 - Sigma 기반 공격 탐지 도구는 녹으로 작성되었습니다.
  • DeepBluecli- PowerShell에 작성된 공격 탐지 도구.
  • EVTX 공격 샘플 - EVTX 공격 샘플 이벤트 로그 파일.
  • Hayabusa- Yamato Security의 시그마 기반 공격 탐지 및 빠른 법의학 타임 라인 생성기.
  • Deepbluecli의 Rustyblue 녹 출시.
  • 시그마 - 일반 시엠 규칙.
  • So-Import-EVTX- EVTX 파일을 보안 양파로 가져옵니다.
  • 지르 콜라이트 - 시그마 기반 공격 탐지 도구는 파이썬으로 작성되었습니다.

기부금

우리는 어떤 형태의 기여를 좋아할 것입니다. 풀 요청이 가장 좋지만 버그 등을 알리는 기능 요청도 매우 환영합니다.

확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체