0x00 背景
o365 21v为o365的大陆版本,主要给国内用户使用。微软提供了powershell工具和接口获取云上日志。微软o365国内的代理目前是世纪互联。本文介绍如何用powershell和配置证书拉取云上日志。
0x01 实践
第一步,ip权限开通:
由世纪互联运营的 Office 365 的 URL 和 IP 地址范围 - Microsoft 365 Enterprise | Microsoft Learn
需要开通这个子菜单下面所有ip/domain的访问权限。
特别是 login.parter.microsoftonline.cn 这个域名
第二步,安装EXO (Exchange Online PowerShell) :
Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
这两个命令表示在有网络的情况执行安装模块和导入模块。
第三步,连接Exchange Online Server。
由于Basic Auth不被推荐使用,故这里使用证书验证的方式,好处是可以不依赖于用户名密码。
如何使用证书连接Exchange Online Server ?
需要所属企业Exchange管理员协助申请一个证书。将证书安装在需要访问EXO的服务器上。连接代码如下:
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$TenantId ="4edexxxx-xxxx-xxxxa-xxxx-8xxxxxxxxxx8"
$ApplicationId ="477xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$CertificateThumbprint ="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" #安装好证书后在证书里查看
$Cert = Get-ChildItem Cert:\LocalMachine\My\$CertificateThumbprintConnect-ExchangeOnline -ExchangeEnvironmentName O365China -Certificate $Cert -AppID $ApplicationId -Organization YourUnitcloud.partner.onmschina.cn
第四步,用脚本自动化实现。
官方没有给脚本,可能是怕调用的用户多增加服务器的压力。github上可以找到开源的脚本:
https://github.com/PwC-IR/Office-365-Extractor/
自己根据需要改一改,就可以自动化了。
我使用的是筛选指定组日志功能:
脚本选择关注的类型:
ExchangeAdmin,ExchangeItem,ExchangeItemGroup,AzureActiveDirectory,AzureActiveDirectoryStsLogon
0x02 后记
1.查询所有用户一天日志量:
Calculating the number of audit logs
ExchangeAdmin: 130
ExchangeItem: 23785
ExchangeItemGroup: 13709
SharePoint: 85
SharePointFileOperation: 522
AzureActiveDirectory: 4589
AzureActiveDirectoryStsLogon: 23912
SecurityComplianceCenterEOPCmdlet: 391
PowerBIAudit: 9761
CRM: 745
SharePointListOperation: 22
PowerAppsApp: 71
DataInsightsRestApiAudit:
--------------------------------------
Total count: 77742
查询某个用户的日志量:
AzureActiveDirectoryStsLogon: 19
2.powershell 获取当前时间:
Get-date -format "yyyy-MM-dd"
3.发现脚本一个问题,就是选择了部分组,最后拉取也是全部组,但选择全部组,可能会卡住拉不下来日志。
4.警告: 无法从 URI“https://go.microsoft.com/fwlink/?LinkID=627338&clcid=0x409”下载到“”。_go.microsoft.com下载失败-CSDN博客