WELA Windows事件日志分析器

WELA Windows事件日志分析器

WELA简介

WELA (Windows Event Log Analyzer)

Yamato Security 的 WELA(Windows 事件日志分析器)旨在成为 Windows 事件日志的瑞士军刀。目前,WELA 最大的功能是创建一个易于分析的登录时间线,以帮助进行快速取证和事件响应。WELA 的登录时间线生成器将仅将多个登录日志条目(4624、4634、4647、4672、4776)中的有用信息合并为单个事件,通过忽略大约 90% 的噪音来执行数据缩减,并将转换任何难以读取的数据(例如十六进制状态代码)转换为人类可读的格式。

在 Windows Powershell 5.1 上测试过,但可能适用于以前的版本。不幸的是,它不适用于 Powershell Core,因为它没有读取 Windows 事件日志的内置功能。

特征

  • 用 PowerShell 编写,因此易于阅读和自定义。
  • 快速取证登录时间线生成器
    • 检测横向移动、系统使用、可疑登录、易受攻击的协议使用等…
    • 登录事件降噪 90% 以上
    • 计算登录已用时间
    • 图形界面分析
    • 登录类型摘要
  • 实时分析和离线分析
  • 日语支持
  • 事件 ID 统计
  • 输出到 CSV 以在 Timeline Explorer 等中进行分析…
  • 在禁用 NTLM 之前分析 NTLM 使用情况
  • 西格玛规则
  • 自定义攻击检测规则
  • 远程分析
  • 登录统计

WELA下载地址

GitHub

WELA-0.5.0.zip4.24 MB

用法

目前,请使用 Windows Powershell 5.1。您将需要本地管理员访问权限才能进行实时分析。

Analysis Source (Specify one):
        -LiveAnalysis : Creates a timeline based on the live host's log
        -LogFile <path-to-logfile> : Creates a timelime from an offline .evtx file
        -LogDirectory <path-to-logfiles> (Warning: not fully implemented.) : Analyze offline .evtx files
        -RemoteLiveAnalysis : Creates a timeline based on the remote host's log

    Analysis Type (Specify one):
        -AnalyzeNTLM_UsageBasic : Returns basic NTLM usage based on the NTLM Operational log
        -AnalyzeNTLM_UsageDetailed : Returns detailed NTLM usage based on the NTLM Operational log
        -EventID_Statistics : Output event ID statistics
        -LogonTimeline : Output a condensed timeline of user logons based on the Security log
        -SecurityAuthenticationSummary : Output a summary of authentication events for each logon type based on the Security log

    Analysis Options:
        -StartTimeline "<YYYY-MM-DD HH:MM:SS>" : Specify the start of the timeline
        -EndTimeline "<YYYY-MM-DD HH:MM:SS>" : Specify the end of the timeline

    -LogonTimeline Analysis Options:
        -IsDC : Specify if the logs are from a DC

    Output Types (Default: Standard Output):
        -SaveOutput <outputfile-path> : Output results to a text file
        -OutputCSV : Outputs to CSV
        -OutputGUI : Outputs to the Out-GridView GUI

    General Output Options:
        -USDateFormat : Output the dates in MM-DD-YYYY format (Default: YYYY-MM-DD)
        -EuropeDateFormat : Output the dates in DD-MM-YYYY format (Default: YYYY-MM-DD)
        -UTC : Output in UTC time (default is the local timezone)
        -Japanese : Output in Japanese

    -LogonTimeline Output Options:
        -HideTimezone : Hides the timezone
        -ShowLogonID : Show logon IDs

    Other:
        -ShowContributors : Show the contributors
        -QuietLogo : Do not display the WELA logo

有用的选项

显示事件 ID 统计信息以了解有哪些类型的事件:

./WELA.ps1 -LogFile .\Security.evtx -EventIDStatistics

通过离线分析以 UTC 时间输出到 GUI 创建时间线:

.\WELA.ps1 -LogFile .\Security.evtx -LogonTimeline -OutputGUI -UTC

在禁用之前分析 NTLM 操作日志以了解 NTLM 使用情况:

.\WELA.ps1 -LogFile .\DC1-NTLM-Operational.evtx -AnalyzeNTLM_UsageBasic 

活动机器上的安全登录统计信息:

.\WELA.ps1 -LiveAnalysis -SecurityAuthenticationSummary

截图

登录时间线 GUI:

WELA Windows事件日志分析器

人类可读的时间表:

WELA Windows事件日志分析器

登录类型统计:

WELA Windows事件日志分析器

事件 ID 统计:

WELA Windows事件日志分析器

登录类型摘要:

WELA Windows事件日志分析器

NTLM身份验证分析:

WELA Windows事件日志分析器

相关的 Windows 事件日志威胁搜寻项目

from

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。