Get-AppLockerEventlog:一款功能强大的AppLocker事件日志提取工具
2023-3-20 19:18:37 Author: FreeBuf(查看原文) 阅读量:23 收藏

 关于Get-AppLockerEventlog 

Get-AppLockerEventlog是一款功能强大的Applocker事件日志提取工具,该脚本能够从Windows事件日志中解析所有的事件,并从中提取出与AppLocker相关的所有日志。

该脚本可以帮助广大研究人员收集与事件相关的所有重要信息,而这些信息随后可以应用到信息安全取证、威胁搜索和故障排除等场景。

当前版本的Get-AppLockerEventlog支持提取下列日志信息:

EXE

DLL

MSI

脚本

封装的App部署

封装的App执行

支持获取的有价值信息:

FileType,

EventID,

Message,

User,

Computer,

EventTime,

FilePath,

Publisher,

FileHash,

Package

RuleName,

LogName,

TargetUser.

 工具下载 

由于该脚本基于PowerShell开发,因此我们只能在Windows设备或配置了PowerShell环境的设备上使用该脚本。

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/RomaissaAdjailia/Get-AppLockerEventlog.git

(向右滑动,查看更多)

 工具使用 

HunType参数

该参数制定了你想要获取的事件类型,并且提供了四个值可供选择。

1、All

该选项会获取跟威胁搜索、信息安全取证和疑难解决相关的所有AppLocker事件日志,该选项也是HunType参数的默认值:

.\Get-AppLockerEventlog.ps1 -HunType All

2、Block

该选项会获取由AppLocker阻止的应用程序所触发的所有事件,这种类型的事件日志对于威胁搜索或安全取证至关重要,并且具有高优先级,因为这种操作表明了恶意行为尝试,或者能够表示之前的恶意活动有尝试绕过防御机制的行为:

.\Get-AppLockerEventlog.ps1 -HunType Block |Format-Table -AutoSize

(向右滑动,查看更多)

3、Allow

该选项能够获取由AppLocker允许的应用程序所触发的所有事件。这些日志信息对于威胁搜索或安全取证,以及应用程序行为监控来说非常重要,因为它可以帮助我们检测任何可能的旁路或配置错误:

.\Get-AppLockerEventlog.ps1 -HunType Allow | Format-Table -AutoSize

(向右滑动,查看更多)

4、Audit

如果启用了强制模式(审核模式),工具将获取AppLocker阻止应用程序时生成的所有事件。这些事件可以帮助我们检查错误配置、以及审核阶段发生的恶意操作:

.\Get-AppLockerEventlog.ps1 -HunType Audit

 输出结果 

工具的分析输出结果将直接显示在屏幕上:

同时工具会将结果粗处到一个CSV文件中:AppLocker-log.csv

 许可证协议 

本项目的开发与发布遵循MIT开源许可证协议。

 项目地址 

Get-AppLockerEventlog

https://github.com/RomaissaAdjailia/Get-AppLockerEventlog

参考资料:

https://medium.com/@elromaissa2/diving-in-applocker-for-blue-team-57a7328ce5c0

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/using-event-viewer-with-applocker

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651220151&idx=4&sn=25a28570bc4668dcc7ada76bab588893&chksm=bd1dfa3c8a6a732a7baa8e0fb6fe1429af65ef8b02201f7063798e016c77432bd2e9ad99fffa#rd
如有侵权请联系:admin#unsafe.sh