Automatisierte Forensik in der Microsoft-Cloud

Die Microsoft Extractor Suite bietet durch die automatisierte Bereitstellung von Protokolldaten einen wertvollen Beitrag zur Untersuchung der MS-Cloud-Umgebung.

Artikel verschenken

08:00 Uhr

Lesezeit: 26 Min.

iX Magazin

Von

Henning Heicke

Automatisierte Forensik in der Microsoft-Cloud
- Vorbereitung und Einrichtung
- Einrichten des M365-Users
- Einrichten der Graph-API
Verbindung und Parameter
Das Unified Audit Log der M365-Cloud
E-Mails und Zugriffe
EntraID und Activity Logs
Zugriffsrichtlinien
Benutzerkonten prüfen und automatisiertes Logsammeln
Fazit und Ausblick

Artikel in iX 13/2025 lesen

Die Microsoft Extractor Suite ist ein Werkzeug, das zahlreiche Protokollquellen aus Microsoft 365 (M365) und Microsoft Azure (kurz Azure) unkompliziert zur Verfügung stellt. Sie wird als Open-Source-Software entwickelt, hauptsächlich vom niederländischen Unternehmen Invictus, und besteht aus einer zusammenhängenden Sammlung von Microsoft-PowerShell-Skripten. Sie ist primär auf die Ausführung auf Windows ausgelegt. Von einer Ausführung auf anderen von Microsoft PowerShell unterstützten Systemen raten die Entwickler aus Kompatibilitätsgründen in der Dokumentation ab.

Die Open-Source-Anwendung Microsoft Extractor Suite extrahiert automatisiert Protokolldaten aus der Microsoft-Cloud.
Das Tool unterstützt die Analyse zahlreicher Protokollarten, darunter Unified Audit Logs, Exchange-Daten, Entra-ID-Logs und Azure-Ressourcen, um Vorfälle wie Datendiebstahl oder Kontoübernahmen aufzuklären.
Durch anpassbare Parameter wie Benutzer-IDs, Zeiträume oder spezifische Aktivitäten lassen sich Untersuchungen gezielt und effizient durchführen.

Forensik von Einzelsystemen gilt als besonders anspruchsvoll, weil oft der Kontext der Sicherheitsvorfälle fehlt. Dennoch können auch Nichtforensiker mit den geeigneten Werkzeugen erfolgreich nach Spuren suchen. In der Cloud kommt es eher darauf an, im Dschungel der vielen Dienste Protokolldateien zusammenzuführen. Auch dabei hilft Open-Source-Software.

Henning Heicke ist als Senior Digital-Forensics- und Incident-Response-Spezialist bei der Oneconsult Deutschland AG angestellt, wo er Kunden bei Vorfällen unterstützt und bei der Absicherung ihrer Infrastruktur berät.

Vorbereitung und Einrichtung

Um das Tool produktiv nutzen zu können, ist es notwendig, zunächst einige Vorarbeiten zu erledigen. Dazu zählen die Vorbereitung der PowerShell-Umgebung auf dem ausführenden Client und die Erteilung der erforderlichen Berechtigungen in der zu untersuchenden M365-/Azure-Umgebung. Da die PowerShell-Module nicht über eine digitale Signatur verfügen, lässt sich die Integrität nicht prüfen. Daher muss zunächst die Richtlinie zur Ausführung der PowerShell-Cmdlets auf den Wert Unrestricted gesetzt werden, sodass PowerShell-Sicherheitsmechanismen die auszuführenden Module nicht blockieren. Idealerweise geschieht das nur temporär für die Ausführung im Bereich des aktiven Benutzers und nicht systemweit:

PS > Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser

Die folgenden Befehle installieren alle benötigten PowerShell-Module, darunter auch die Microsoft Extractor Suite selbst:

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Tschüss, Big Tech: Gmail-Postfach exportieren und E-Mails löschen

Sie haben Ihren E-Mail-Anbieter gewechselt? Dann müssen Sie jetzt noch Ihren Datenschatz aus dem alten Postfach heben. Wir erklären, wie das geht.

Minibrennstoffzelle für tragbare Geräte

Forscher in Japan haben eine handliche Brennstoffzelle entwickelt. Innen verbrennt Wasserstoff bei 600 Grad Celsius, außen erreicht das Gehäuse kaum 20 Grad.

Der Wärmepumpen-Inverter: Darum regelt er selten unter 20 Prozent herunter

Der Inverter regelt die Kompressor-Drehzahl, um die Wärmeproduktion an den Bedarf anzupassen. Doch wie funktioniert das und warum kann er nicht auf 0 regeln?

Chrome ausreizen: Datenschutz verbessern, an Vorlieben anpassen

Chrome ist umstritten, aber weiterhin populär. Unser Ratgeber zeigt, wie Sie den Browser datenschutzfreundlicher konfigurieren und sich vor Tracking schützen.

Mercedes CLA 250+ im Test: Verbraucht wenig, kommt weit, lädt schnell

Der CLA ist ein ausgezeichnetes Elektroauto, wie er unter grimmigen Testbedingungen unter Beweis stellt. Es stören fast nur noch Kleinigkeiten.

Super-Mario-Welten selbst bauen, spannende Projekte vorgestellt

Mit Level-Baukästen wie Lunar Magic und SMBX2 erstellt man unter Windows eigene Super-Mario-Welten zum Durchhüpfen, aber auch extrem fordernde Speedrun-Levels.