跳轉到

指令使用方式

audit-settings

audit-settings 指令會檢查 Windows 事件日誌的稽核原則設定,並將其與 Yamato SecurityMicrosoft(Sever/Client) 以及 Australian Signals Directorate (ASD) 的建議設定進行比較。 RuleCount 表示能夠偵測該類別中事件的 Sigma 規則數量。

audit-settings 指令範例

使用預設的 Yamato Security 建議設定進行檢查,並將結果儲存為 CSV:

./WELA.ps1 audit-settings -Baseline YamatoSecurity

使用 Australian Signals Directorate 的建議設定進行檢查,並將結果儲存為 CSV:

./WELA.ps1 audit-settings -Baseline ASD

使用 Microsoft 建議的 Server OS 設定進行檢查,並以 GUI 顯示結果:

./WELA.ps1 audit-settings -Baseline Microsoft_Server -OutType gui

使用 Microsoft 建議的 Client OS 設定進行檢查,並以表格格式顯示結果:

./WELA.ps1 audit-settings -Baseline Microsoft_Client -OutType table

audit-filesize

audit-filesize 指令會檢查 Windows 事件日誌的檔案大小,並將其與 Yamato Security 的建議設定進行比較。

audit-filesize 指令範例

使用 Yamato Security 的建議檢查 Windows 事件日誌檔案大小,並將結果儲存為 CSV:

./WELA.ps1 audit-filesize -Baseline YamatoSecurity

configure

configure 指令會設定建議的 Windows 事件日誌稽核原則與檔案大小。

configure 指令範例

套用 Yamato Security 的建議設定(變更設定前會出現確認提示):

./WELA.ps1 configure -Baseline YamatoSecurity

套用 Australian Signals Directorate 的建議設定,且不出現確認提示:

./WELA.ps1 configure -Baseline ASD -auto

update-rules

update-rules 指令範例

更新 WELA 的 Sigma 規則設定檔:

./WELA.ps1 update-rules