Get-AppLockerEventlog是一款功能强大的Applocker事件日志提取工具,该脚本能够从Windows事件日志中解析所有的事件,并从中提取出与AppLocker相关的所有日志。
该脚本可以帮助广大研究人员收集与事件相关的所有重要信息,而这些信息随后可以应用到信息安全取证、威胁搜索和故障排除等场景。
当前版本的Get-AppLockerEventlog支持提取下列日志信息:
EXE
DLL
MSI
脚本
封装的App部署
封装的App执行
FileType,
EventID,
Message,
User,
Computer,
EventTime,
FilePath,
Publisher,
FileHash,
Package
RuleName,
LogName,
TargetUser.
由于该脚本基于PowerShell开发,因此我们只能在Windows设备或配置了PowerShell环境的设备上使用该脚本。
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/RomaissaAdjailia/Get-AppLockerEventlog.git
该参数制定了你想要获取的事件类型,并且提供了四个值可供选择。
1、All
该选项会获取跟威胁搜索、信息安全取证和疑难解决相关的所有AppLocker事件日志,该选项也是HunType参数的默认值:
.\Get-AppLockerEventlog.ps1 -HunType All
2、Block
该选项会获取由AppLocker阻止的应用程序所触发的所有事件,这种类型的事件日志对于威胁搜索或安全取证至关重要,并且具有高优先级,因为这种操作表明了恶意行为尝试,或者能够表示之前的恶意活动有尝试绕过防御机制的行为:
.\Get-AppLockerEventlog.ps1 -HunType Block |Format-Table -AutoSize
3、Allow
该选项能够获取由AppLocker允许的应用程序所触发的所有事件。这些日志信息对于威胁搜索或安全取证,以及应用程序行为监控来说非常重要,因为它可以帮助我们检测任何可能的旁路或配置错误:
.\Get-AppLockerEventlog.ps1 -HunType Allow | Format-Table -AutoSize
4、Audit
如果启用了强制模式(审核模式),工具将获取AppLocker阻止应用程序时生成的所有事件。这些事件可以帮助我们检查错误配置、以及审核阶段发生的恶意操作:
.\Get-AppLockerEventlog.ps1 -HunType Audit
工具的分析输出结果将直接显示在屏幕上:
同时工具会将结果粗处到一个CSV文件中:AppLocker-log.csv
本项目的开发与发布遵循MIT开源许可证协议。
Get-AppLockerEventlog:
https://medium.com/@elromaissa2/diving-in-applocker-for-blue-team-57a7328ce5c0
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/using-event-viewer-with-applocker
精彩推荐