Utilisation des commandes¶
audit-settings¶
La commande audit-settings vérifie les paramètres de la stratégie d'audit du journal d'événements Windows et les compare aux paramètres recommandés par Yamato Security, Microsoft(Sever/Client) et l'Australian Signals Directorate (ASD).
RuleCount indique le nombre de règles Sigma capables de détecter des événements dans cette catégorie.
Exemples de la commande audit-settings¶
Vérifier avec les paramètres recommandés par défaut de Yamato Security et enregistrer les résultats au format CSV :
Vérifier avec les paramètres recommandés par l'Australian Signals Directorate et enregistrer les résultats au format CSV :
Vérifier avec les paramètres recommandés par Microsoft pour les systèmes d'exploitation Server et afficher les résultats dans une interface graphique :
Vérifier avec les paramètres recommandés par Microsoft pour les systèmes d'exploitation Client et afficher les résultats sous forme de tableau :
audit-filesize¶
La commande audit-filesize vérifie la taille des fichiers des journaux d'événements Windows et la compare aux paramètres recommandés par Yamato Security.
Exemples de la commande audit-filesize¶
Vérifier la taille des fichiers du journal d'événements Windows avec les recommandations de Yamato Security et enregistrer les résultats au format CSV :
configure¶
La commande configure définit la stratégie d'audit du journal d'événements Windows et la taille des fichiers recommandées.
Exemples de la commande configure¶
Appliquer les paramètres recommandés par Yamato Security (avec une invite de confirmation avant de modifier les paramètres) :
Appliquer les paramètres recommandés par l'Australian Signals Directorate sans invite de confirmation :
update-rules¶
Exemples de la commande update-rules¶
Mettre à jour les fichiers de configuration des règles Sigma de WELA :