Головна
WELA (Windows Event Log Analyzer, ゑ羅), створений Yamato Security, — це інструмент для аудиту налаштувань журналу подій Windows. Журнали подій Windows є життєво важливим джерелом інформації для DFIR — WELA допомагає переконатися, що ви дійсно записуєте події, які мають значення.
Чому WELA?¶
-
Аудит налаштувань політики журналювання
Перевіряйте налаштування політики аудиту журналу подій Windows, щоб підтвердити, що журналюються правильні події.
-
На основі рекомендацій
Перевірка відповідно до основних рекомендацій з налаштування аудиту журналу подій Windows.
-
Виявлюваність Sigma
Оцінює ваші налаштування за реальною виявлюваністю правил Sigma — чи дійсно ваші журнали виявлятимуть атаки?
-
Аудит розміру файлів
Перевіряє розміри файлів журналу подій Windows та пропонує рекомендовані розміри.
-
Автоматичне налаштування
Застосовуйте рекомендовану політику аудиту та розміри файлів журналу за допомогою команди
configure. -
Гнучкий вивід
Переглядайте результати в терміналі, графічному інтерфейсі, у вигляді таблиці або як теплову карту MITRE ATT&CK Navigator.
Швидкі посилання¶
-
Уперше тут?
Почніть з Огляду, а потім перейдіть до Початку роботи, щоб встановити та запустити WELA.
-
Працюєте з CLI?
Перегляньте Список команд та довідник Використання команд (
audit-settings,audit-filesize,configure,update-rules). -
Хочете більше?
Ознайомтеся із Супутніми проєктами, Журналом змін та тим, як зробити внесок.