关于Get-AppLockerEventlog

Get-AppLockerEventlog是一款功能强大的Applocker事件日志提取工具，该脚本能够从Windows事件日志中解析所有的事件，并从中提取出与AppLocker相关的所有日志。

该脚本可以帮助广大研究人员收集与事件相关的所有重要信息，而这些信息随后可以应用到信息安全取证、威胁搜索和故障排除等场景。

当前版本的Get-AppLockerEventlog支持提取下列日志信息：

EXE

DLL

MSI

脚本

封装的App部署

封装的App执行

支持获取的有价值信息

FileType,

EventID,

Message,

User,

Computer,

EventTime,

FilePath,

Publisher,

FileHash,

Package

RuleName,

LogName,

TargetUser.

工具下载

由于该脚本基于PowerShell开发，因此我们只能在Windows设备或配置了PowerShell环境的设备上使用该脚本。

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/RomaissaAdjailia/Get-AppLockerEventlog.git

工具使用

HunType参数

该参数制定了你想要获取的事件类型，并且提供了四个值可供选择。

1、All

该选项会获取跟威胁搜索、信息安全取证和疑难解决相关的所有AppLocker事件日志，该选项也是HunType参数的默认值：

.\Get-AppLockerEventlog.ps1 -HunType All

2、Block

该选项会获取由AppLocker阻止的应用程序所触发的所有事件，这种类型的事件日志对于威胁搜索或安全取证至关重要，并且具有高优先级，因为这种操作表明了恶意行为尝试，或者能够表示之前的恶意活动有尝试绕过防御机制的行为：

.\Get-AppLockerEventlog.ps1 -HunType Block |Format-Table -AutoSize

3、Allow

该选项能够获取由AppLocker允许的应用程序所触发的所有事件。这些日志信息对于威胁搜索或安全取证，以及应用程序行为监控来说非常重要，因为它可以帮助我们检测任何可能的旁路或配置错误：

.\Get-AppLockerEventlog.ps1 -HunType Allow | Format-Table -AutoSize

4、Audit

如果启用了强制模式（审核模式），工具将获取AppLocker阻止应用程序时生成的所有事件。这些事件可以帮助我们检查错误配置、以及审核阶段发生的恶意操作：

.\Get-AppLockerEventlog.ps1 -HunType Audit

输出结果

工具的分析输出结果将直接显示在屏幕上：

同时工具会将结果粗处到一个CSV文件中：AppLocker-log.csv

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Get-AppLockerEventlog：【GitHub传送门】

参考资料

https://medium.com/@elromaissa2/diving-in-applocker-for-blue-team-57a7328ce5c0

https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/using-event-viewer-with-applocker