명령어 사용법¶

audit-settings¶

audit-settings 명령어는 Windows 이벤트 로그 감사 정책 설정을 확인하고 이를 Yamato Security, Microsoft(Sever/Client), Australian Signals Directorate (ASD)의 권장 설정과 비교합니다. RuleCount는 해당 카테고리 내의 이벤트를 탐지할 수 있는 Sigma 규칙의 개수를 나타냅니다.

기본 Yamato Security의 권장 설정으로 확인하고 결과를 CSV로 저장:

./WELA.ps1 audit-settings -Baseline YamatoSecurity

Australian Signals Directorate의 권장 설정으로 확인하고 결과를 CSV로 저장:

./WELA.ps1 audit-settings -Baseline ASD

Microsoft의 권장 Server OS 설정으로 확인하고 결과를 GUI로 표시:

./WELA.ps1 audit-settings -Baseline Microsoft_Server -OutType gui

Microsoft의 권장 Client OS 설정으로 확인하고 결과를 테이블 형식으로 표시:

./WELA.ps1 audit-settings -Baseline Microsoft_Client -OutType table

audit-filesize 명령어는 Windows 이벤트 로그의 파일 크기를 확인하고 이를 Yamato Security의 권장 설정과 비교합니다.

Yamato Security의 권장 설정으로 Windows 이벤트 로그 파일 크기를 확인하고 결과를 CSV로 저장:

./WELA.ps1 audit-filesize -Baseline YamatoSecurity

configure 명령어는 권장되는 Windows 이벤트 로그 감사 정책과 파일 크기를 설정합니다.

Yamato Security의 권장 설정 적용(설정 변경 전 확인 프롬프트 포함):

./WELA.ps1 configure -Baseline YamatoSecurity

Australian Signals Directorate의 권장 설정을 확인 프롬프트 없이 적용:

./WELA.ps1 configure -Baseline ASD -auto

WELA의 Sigma 규칙 구성 파일 업데이트:

./WELA.ps1 update-rules