Використання команд

audit-settings

Команда audit-settings перевіряє налаштування політики аудиту журналу подій Windows та порівнює їх із рекомендованими налаштуваннями від Yamato Security, Microsoft(Sever/Client) та Australian Signals Directorate (ASD). RuleCount вказує кількість правил Sigma, які можуть виявляти події в межах цієї категорії.

приклади команди audit-settings

Перевірка зі стандартними рекомендованими налаштуваннями Yamato Security та збереження результатів у CSV:

./WELA.ps1 audit-settings -Baseline YamatoSecurity

Перевірка з рекомендованими налаштуваннями Australian Signals Directorate та збереження результатів у CSV:

./WELA.ps1 audit-settings -Baseline ASD

Перевірка з рекомендованими налаштуваннями Microsoft для серверної ОС та відображення результатів у графічному інтерфейсі:

./WELA.ps1 audit-settings -Baseline Microsoft_Server -OutType gui

Перевірка з рекомендованими налаштуваннями Microsoft для клієнтської ОС та відображення результатів у форматі таблиці:

./WELA.ps1 audit-settings -Baseline Microsoft_Client -OutType table

audit-filesize

Команда audit-filesize перевіряє розмір файлів журналів подій Windows та порівнює їх із рекомендованими налаштуваннями від Yamato Security.

приклади команди audit-filesize

Перевірка розміру файлу журналу подій Windows за рекомендаціями Yamato Security та збереження результатів у CSV:

./WELA.ps1 audit-filesize -Baseline YamatoSecurity

configure

Команда configure встановлює рекомендовану політику аудиту журналу подій Windows та розмір файлу.

приклади команди configure

Застосування рекомендованих налаштувань Yamato Security (з підтвердженням перед зміною налаштувань):

./WELA.ps1 configure -Baseline YamatoSecurity

Застосування рекомендованих налаштувань Australian Signals Directorate без підтвердження:

./WELA.ps1 configure -Baseline ASD -auto

update-rules

приклади команди update-rules

Оновлення конфігураційних файлів правил Sigma для WELA:

./WELA.ps1 update-rules