首頁>編程相關>其他源碼
下載

wela徽標

WELA(Windows事件日誌分析儀)ゑ羅

[英語] | [日本語]

Windows事件日誌分析儀)旨在成為Windows事件日誌的瑞士軍刀。目前,WELA的最大功能是創建一個易於分析的登錄時間表,以幫助進行快速取證和事件響應。 WELA的登錄時間軸生成器將僅將多個登錄日誌條目(4624、4634、4647、4672、4776)中的有用信息整合到單個事件中,通過忽略大約90%的噪聲來降低數據,並將將任何能力讀取的數據(例如hex狀態代碼)轉換為人類可讀格式。

在Windows Powershell 5.1上測試,但可能與以前的版本一起使用。不幸的是,它將無法與PowerShell Core一起使用,因為沒有內置功能可以讀取Windows事件日誌。

特徵

**注意:** WELA中的最後一個Sigma規則合規性是2021年7月。如果您想使用最新的Sigma規則進行EVTX檢測,請使用Hayabusa。

  • 用PowerShell編寫,因此易於閱讀和自定義。
  • 快速取證登錄時間軸生成器
    • 檢測橫向移動,系統用法,可疑登錄,脆弱的協議用法等...
    • 登錄事件的90%+降噪
    • 計算登錄經過的時間
    • GUI分析
    • 登錄類型摘要
  • 現場分析和離線分析
  • 日本支持
  • 事件ID統計
  • 輸出到CSV以分析時間軸探索器等...
  • 在禁用NTLM之前分析NTLM使用情況
  • Sigma規則
  • 自定義攻擊檢測規則
  • 遠程分析
  • 登錄統計

用法

目前,請使用Windows PowerShell 5.1。您將需要本地管理員訪問才能進行實時分析。 

    Analysis Source (Specify one):
        - LiveAnalysis : Creates a timeline based on the live host ' s log
        -LogFile <path-to-logfile> : Creates a timelime from an offline .evtx file
        -LogDirectory <path-to-logfiles> (Warning: not fully implemented.) : Analyze offline .evtx files
        -RemoteLiveAnalysis : Creates a timeline based on the remote host ' s log

    Analysis Type (Specify one):
        - AnalyzeNTLM_UsageBasic : Returns basic NTLM usage based on the NTLM Operational log
        - AnalyzeNTLM_UsageDetailed : Returns detailed NTLM usage based on the NTLM Operational log
        - SecurityEventID_Statistics : Output event ID statistics
        - EasyToReadSecurityLogonTimeline : Output essy to read event ID statics
        - SecurityLogonTimeline : Output a condensed timeline of user logons based on the Security log
        - SecurityAuthenticationSummary : Output a summary of authentication events for each logon type based on the Security log

    Analysis Options:
        - StartTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the start of the timeline
        - EndTimeline " <YYYY-MM-DD HH:MM:SS> " : Specify the end of the timeline

    - LogonTimeline Analysis Options:
        - IsDC : Specify if the logs are from a DC

    Output Types ( Default : Standard Output):
        - SaveOutput < outputfile - path > : Output results to a text file
        - OutputCSV : Outputs to CSV
        - OutputGUI : Outputs to the Out-GridView GUI

    General Output Options:
        - USDateFormat : Output the dates in MM - DD - YYYY format ( Default : YYYY - MM - DD)
        - EuropeDateFormat : Output the dates in DD - MM - YYYY format ( Default : YYYY - MM - DD)
        - UTC : Output in UTC time ( default is the local timezone)
        - Japanese : Output in Japanese

    - LogonTimeline Output Options:
        - HideTimezone : Hides the timezone
        - ShowLogonID : Show logon IDs

    Other:
        - ShowContributors : Show the contributors
        - QuietLogo : Do not display the WELA logo

有用的選項

顯示事件ID統計信息,以了解有什麼樣的事件: 

. / WELA.ps1 - LogFile .Security.evtx - SecurityEventID_Statistics

通過在UTC時間內輸出到GUI的離線分析創建時間表: 

.WELA.ps1 - LogFile .Security.evtx - SecurityLogonTimeline - OutputGUI - UTC

在禁用NTLM的NTLM使用日誌之前,請分析NTLM操作日誌: 

.WELA.ps1 - LogFile .DC1 - NTLM - Operational.evtx - AnalyzeNTLM_UsageBasic

實時機器上的安全登錄統計信息: 

.WELA.ps1 - LiveAnalysis - SecurityAuthenticationSummary

屏幕截圖

登錄時間軸GUI:

登錄時間線GUI

人類可讀時間表:

登錄時間線GUI

登錄類型統計:

登錄統計

事件ID統計信息:

事件ID統計

登錄類型摘要:

登錄類型摘要

NTLM身份驗證分析:

登錄類型摘要

相關的Windows事件日誌威脅狩獵項目

  • Apt -Hunter-用Python編寫的攻擊檢測工具。
  • 電鋸 - 基於Sigma的攻擊檢測工具,用Rust編寫。
  • DeepBluecli-用PowerShell編寫的攻擊檢測工具。
  • EVTX攻擊樣本-EVTX攻擊樣本事件日誌文件。
  • Hayabusa- Yamato Security的基於Sigma的攻擊檢測和快速取證時間表生成器。
  • Rustyblue Rust Port of DeepBluecli。
  • Sigma-通用的SIEM規則。
  • So-Import-evtx-將EVTX文件導入安全洋蔥。
  • 鋯石 - 基於Sigma的攻擊檢測工具,用Python編寫。

貢獻

我們希望任何形式的貢獻。拉力請求是最好的,但功能請求,通知我們錯誤等...也非常歡迎。

展開
附加信息
相關應用
爲您推薦
相關資訊 全部