Befehlsverwendung¶
audit-settings¶
Der Befehl audit-settings überprüft die Einstellungen der Überwachungsrichtlinie des Windows-Ereignisprotokolls und vergleicht sie mit den empfohlenen Einstellungen von Yamato Security, Microsoft(Sever/Client) und Australian Signals Directorate (ASD).
RuleCount gibt die Anzahl der Sigma-Regeln an, die Ereignisse innerhalb dieser Kategorie erkennen können.
audit-settings-Befehlsbeispiele¶
Mit den standardmäßig empfohlenen Einstellungen von Yamato Security überprüfen und Ergebnisse als CSV speichern:
Mit den empfohlenen Einstellungen des Australian Signals Directorate überprüfen und Ergebnisse als CSV speichern:
Mit den von Microsoft empfohlenen Einstellungen für Server-Betriebssysteme überprüfen und Ergebnisse in einer GUI anzeigen:
Mit den von Microsoft empfohlenen Einstellungen für Client-Betriebssysteme überprüfen und Ergebnisse im Tabellenformat anzeigen:
audit-filesize¶
Der Befehl audit-filesize überprüft die Dateigröße der Windows-Ereignisprotokolle und vergleicht sie mit den Empfehlungen von Yamato Security.
audit-filesize-Befehlsbeispiele¶
Die Dateigröße des Windows-Ereignisprotokolls mit den Empfehlungen von Yamato Security überprüfen und Ergebnisse als CSV speichern:
configure¶
Der Befehl configure legt die empfohlene Überwachungsrichtlinie und Dateigröße des Windows-Ereignisprotokolls fest.
configure-Befehlsbeispiele¶
Die von Yamato Security empfohlenen Einstellungen anwenden (mit Bestätigungsaufforderung vor dem Ändern der Einstellungen):
Die vom Australian Signals Directorate empfohlenen Einstellungen ohne Bestätigungsaufforderung anwenden:
update-rules¶
update-rules-Befehlsbeispiele¶
Die Sigma-Regel-Konfigurationsdateien von WELA aktualisieren: