{"id":230688,"date":"2020-04-13T00:08:00","date_gmt":"2020-04-12T22:08:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230688"},"modified":"2022-12-07T14:49:49","modified_gmt":"2022-12-07T13:49:49","slug":"powershell-tool-konfiguriert-windows-ereignisanzeige-fr-audits-und-security-monitoring","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/13\/powershell-tool-konfiguriert-windows-ereignisanzeige-fr-audits-und-security-monitoring\/","title":{"rendered":"Windows Ereignisanzeige f&uuml;r Audits und Security Monitoring per PowerShell-Tool konfigurieren"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=14060\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Wie konfiguriert man die Ereignisanzeige unter Windows dergestalt, dass diese f\u00fcr Audits und Security Monitoring genutzt werden kann. Jemand hat f\u00fcr diesen Zweck ein PowerShell-Tool geschrieben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/4ac934011cd640c8b0a2f59bc4df34f0\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber den nachfolgenden Tweet des Sicherheitsforschers Nicolas Krassas auf diesen Ansatz gesto\u00dfen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Audix &#8211; A PowerShell Tool To Quickly Configure The Windows Event Audit Policies For Security Monitoring <a href=\"https:\/\/t.co\/Edsny9xkZf\">https:\/\/t.co\/Edsny9xkZf<\/a><\/p>\n<p>\u2014 Nicolas Krassas (@Dinosn) <a href=\"https:\/\/twitter.com\/Dinosn\/status\/1249196687329038339?ref_src=twsrc%5Etfw\">April 12, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Audit-Richtlinien von Windows sind standardm\u00e4\u00dfig eingeschr\u00e4nkt. Das bedeutet, dass f\u00fcr Incident Responders, Blue Teamers, CISO's &amp; Personen, die ihre Umgebung mit Hilfe von Windows-Ereignisprotokollen \u00fcberwachen m\u00f6chten, die Audit-Richtlinien-Einstellungen konfigurieren m\u00fcssen, um eine erweiterte Protokollierung zu erm\u00f6glichen.<\/p>\n<p>Das PowerShell Tool Audix zielt darauf ab, die aktuelle Audit-Richtlinieneinstellung zu erfassen, ein Backup davon durchzuf\u00fchren (f\u00fcr den Fall, dass eine Wiederherstellung des vorherigen Zustands erforderlich ist) und eine erweiterte Audit-Richtlinieneinstellung anzuwenden, um ein besseres Security Monitoring mit verbesserter Erkennungsf\u00e4higkeit zu erm\u00f6glichen.<\/p>\n<p>Dar\u00fcber hinaus wird es Audit-Richtlinien-Unterkategorien durchsetzen, um sicherzustellen, dass diese fortschrittlichen Einstellungen bestehen bleiben. Es gibt auch eine Einstellung zur Anpassung der Begrenzung der Protokollgr\u00f6\u00dfe. Das Ganze steht kostenfrei <a href=\"https:\/\/github.com\/littl3field\/Audix\" target=\"_blank\" rel=\"noopener noreferrer\">auf GitHub<\/a> bereit. Vielleicht ist die Information f\u00fcr jemanden von Euch hilfreich.<\/p>\n<p>Erg\u00e4nzung: J\u00f6rn Walter hat die Richtlinien aus Audix an ein deutsches Windows angepasst. Die Details findet ihr in <a href=\"https:\/\/web.archive.org\/web\/20220522145326\/https:\/\/www.der-windows-papst.de\/2020\/04\/13\/audix-audits-und-security-monitoring-per-powershell-tool-konfigurieren\/\" target=\"_blank\" rel=\"noopener noreferrer\">seinem Blog-Beitrag hier<\/a>. Danke an J\u00f6rn f\u00fcr die Erg\u00e4nzung.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Wie konfiguriert man die Ereignisanzeige unter Windows dergestalt, dass diese f\u00fcr Audits und Security Monitoring genutzt werden kann. Jemand hat f\u00fcr diesen Zweck ein PowerShell-Tool geschrieben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4311,4328,3288],"class_list":["post-230688","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-powershell","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230688"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230688\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}