如何搜索和导出 Office 365 审核日志以查找可疑活动

Microsoft Azure 提供了多种工具来监视和调查 Office 365 中的安全事件，但这些工具通常需要额外的成本和许可证。使用免费的 PowerShell 工具，您可以导出 Office 365 审核日志、搜索 Office 365 审核日志并从 Office 365 管理员审核日志中解析您需要的任何内容。

介绍 Hawk PowerShell 模块。

Hawk PowerShell 模块扫描 Office 365 审核日志，收集所有信息，并可以导出 Office 365 审核日志。 Hawk 的主要目标是快速检索审查和分析各种日志所需的数据。

在本文中，您将了解如何安装 Hawk、连接到 Office 365 租户、对租户和用户运行扫描以及开始调查安全漏洞。

先决条件/要求

本文将介绍如何使用 Hawk PowerShell 模块。如果您想继续操作，请确保在开始之前满足以下先决条件。

• Windows PowerShell v5 或更高版本 - Hawk 模块与 PowerShell 6+ 不兼容。
• 网络连接。
• Windows 7 Service Pack 1 或更高版本
• Office 365 租户订阅

Microsoft 提供免费的 25 个用户 Office 365 开发人员实验室，其中包括 25 个用户的使用许可证。请务必安装用户和邮件示例包。示例包将添加 16 个具有许可证和邮箱的虚构用户，包括每个用户的姓名、元数据和照片，并为 16 个示例用户中的每个用户添加 Outlook 电子邮件对话和日历事件。

安装 Hawk 模块

在开始使用 Hawk 模块调查 Office 365 审核日志之前，您需要先安装它。为此，请以管理员身份启动 Windows PowerShell 并输入以下内容：

Install-Module -Name Hawk 

这将需要几分钟的时间，因为 Hawk 有几个依赖项，在您安装它时会自动安装。下面列出了附加模块：

• PSApp洞察
• 云连接
• 蔚蓝AD
• 微软在线
• 鲁棒云命令

提示：如果您想查看安装了哪些模块，请将 verbose 标志添加到命令中。示例：Install-Module -Name Hawk-Verbose

了解 Hawk PowerShell 模块

Hawk 模块 cmdlet 分为两个主要类别：基于租户的 cmdlet 和基于用户的 cmdlet。基于租户的 cmdlet 收集所有用户的审核和报告数据，例如用户转发规则、全局邮箱权限和简单邮箱权限。基于用户的 cmdlet 重点关注个人用户帐户数据，例如个人转发规则、邮箱更改和邮件跟踪。

基于租户和基于用户的 cmdlet 都是通过运行主 Start-HawkTenantInvestigation 或 Start-HawkUserInvestigation 命令来执行的，具体取决于您要调查的区域。执行命令将调用适当的 cmdlet 并开始收集数据。下面的链接是 Hawk 模块中使用的 cmdlet。

• 基于租户的 cmdlet
• 基于用户的 cmdlet

让我们来了解一下 Office 365 审核及其外观。

搜索 Office 365 审核日志

在导出 Office 365 审核日志之前，必须首先搜索 Office 365 管理员审核日志。该任务首先运行 Hawk Tenant Investigation 命令，如下所示：

PS51> Start-HawkTenantInvestigation

检查更新并初始化模块后，Hawk 将登录 MSOnline，如下所示。使用您的租户全局管理员帐户登录以继续。

输入Y以同意免责声明，如下所示。

接下来，提供一个用于存储所有日志和数据的目录。 Hawk 创建多个审核日志，您可以从中记录数据以导出 Office 365 审核日志。创建一个单独的目录来存储它们是一个好主意。在此示例中，所有数据都将转到C:\Hawk 目录。

然后，Hawk 会要求提供一个搜索窗口，其中您要审核哪些日期。在此处按 Enter 键会将搜索窗口的默认开始日期设置为当前日期减去 90 天。对于搜索窗口的最后一天，按 Enter 键将设置当前日期的默认值。

为了减少您必须查看的数据量，请尝试将搜索窗口限制为尽可能短的天数。

一旦您提供了要审核的搜索窗口，Hawk 就会开始扫描 Exchange Online 租户以收集基于租户的日志。使用租户全局管理员帐户登录 Exchange Online，就像之前使用 MSOnline 一样。

一旦您通过 Microsoft Online (MSOnline) 和 Exchange Online (EXO) 身份验证，Hawk 就会开始从 Office 365 管理员审核日志收集审核数据，并将多个日志和数据文件写入本地驱动器，导出 Office 365 审核日志。在此示例中，Hawk 在 C:\Hawk 文件夹下创建标有扫描日期和时间的文件夹。

导出 Office 365 审核日志

每次运行 Hawk 时，它都会创建一个包含当前时间和日期的文件夹，并将所有日志和数据存储在该文件夹中，如下所示。

如果运行多次扫描或在 Hawk 搜索 Office 365 审核日志的一系列时间内运行扫描，Hawk 将使用时间/日期戳作为文件夹名称，以便更轻松地快速找到数据。如下所示，前四个数字是年份，后面是两位数的月份、两位数的日期和以军事格式表示的时间。

缩小范围

租户扫描完成后，现在开始检查 Hawk 模块生成的审核数据。一个好的第一个文件是查看_investigate.txt日志文件。 _invesitgate.txt 文件是租户所有电子邮件转发规则的日志报告。下面显示的是一个示例 _investigate.txt 文件。

转发电子邮件存在安全风险，因为用户可能会将敏感信息转发到易受攻击的帐户。它还可能被垃圾邮件发送者用作邮件中继，从而损害您公司的声誉。

下一个要查看的日志是 Hawk.log 文件。该日志详细记录了租户上次运行时不同区域的变化。寻找任何可疑的变化。一些常见的项目是：

• 将权限更改分配给用户帐户
• 收件箱规则更改
• 用户角色更改（即标准用户角色更改为管理角色）

在下面的示例审核日志中，突出显示的部分显示 Hawk 发现邮箱权限有 18 个更改。这值得仔细研究。

日志中的下一行显示了要查看以获取更多详细信息的 CSV 文件的位置。在本例中，日志文件位于c:\hawk191212_1443\Tenant\Simple_Mailbox_Permissions.csv。

如您所见，您可以将 Office 365 审核日志导出到 CSV 文件。

审核 Office 365 用户

与租户一样，Hawk 还可以审核用户和 Office 365 管理活动是否存在潜在的安全漏洞。有了这些信息，您就可以将注意力集中到一些可疑帐户上。

使用以下命令审核个人帐户。

Start-HawkUserInvestigation -UserPrincipalName username@domain_name.com

Start-HawkUserInvestigation 命令将调用所有 Get-HawkUser cmdlet 并对用户执行多项操作，包括审核：

• 用户配置
• 邮箱规则
• 转发规则
• 文件夹统计
• 邮箱统计

如下所示，Start-HawkUserInvestigation 创建一个标有用户名的文件夹，并将所有以用户为中心的日志文件存储在该文件夹中。

Hawk PowerShell 模块创建的许多文件都是 CSV 格式。

概括

调查安全漏洞需要收集尽可能多的数据，这可能是一项艰巨的任务，需要查看大量日志并收集大量数据。 Hawk 通过将必要的日志收集到一个位置来使事情变得更容易。本文介绍了如何使用 Hawk 查找和导出 Office 365 审核日志以自动执行站点日志收集并帮助搜索调查。

进一步阅读

• GitHub 上的 Hawk PowerShell 模块
• 在 PowerShell 中管理 CSV 文件