くどーさんのPowerShellのログ取得方法。

今回は、PowerShellで実行されたコマンドのロギングの方法を解説します。

昨今のマルウェアは、Windowsを対象にしたものがほとんどです。
更にはPowerShellを利用するマルウェアも増えてきています。

PowerShell マルウェアが急増。シマンテックの解析で、95.4% が悪質なスクリプトと判明。
http://d.hatena.ne.jp/ripjyr/20161210/1481338727

また、企業内でもWindowsサーバーを利用するケースが増えています。
これまではLinuxでsyslogを利用し実行されたコマンドをログ取得し、集中管理するなどロギングは当たり前のように行われてきました。
しかし現在、主流となっているPowerShell 4.0ではロギングできません。
そのため、マルウェアはログの残らないPowershellを標的にしているのかもしれません。

主なロギング出来ない旧バージョンPowerShellのOS

・Windows Server 2012 R2
・Windows Server 2012
・Windows 2008 R2 SP1
・Windows 8.1
・Windows 7 SP1
・Windows 10 Version 1511以前

PowerShellの実行ログを取得する方法について。最低限やっておいた方が良いこと。 | 技術的な何か。