Automatisierte Forensik in der Microsoft-Cloud
Die Microsoft Extractor Suite bietet durch die automatisierte Bereitstellung von Protokolldaten einen wertvollen Beitrag zur Untersuchung der MS-Cloud-Umgebung.
- Henning Heicke
Die Microsoft Extractor Suite ist ein Werkzeug, das zahlreiche Protokollquellen aus Microsoft 365 (M365) und Microsoft Azure (kurz Azure) unkompliziert zur Verfügung stellt. Sie wird als Open-Source-Software entwickelt, hauptsächlich vom niederländischen Unternehmen Invictus, und besteht aus einer zusammenhängenden Sammlung von Microsoft-PowerShell-Skripten. Sie ist primär auf die Ausführung auf Windows ausgelegt. Von einer Ausführung auf anderen von Microsoft PowerShell unterstützten Systemen raten die Entwickler aus Kompatibilitätsgründen in der Dokumentation ab.
- Die Open-Source-Anwendung Microsoft Extractor Suite extrahiert automatisiert Protokolldaten aus der Microsoft-Cloud.
- Das Tool unterstützt die Analyse zahlreicher Protokollarten, darunter Unified Audit Logs, Exchange-Daten, Entra-ID-Logs und Azure-Ressourcen, um Vorfälle wie Datendiebstahl oder Kontoübernahmen aufzuklären.
- Durch anpassbare Parameter wie Benutzer-IDs, Zeiträume oder spezifische Aktivitäten lassen sich Untersuchungen gezielt und effizient durchführen.
Vorbereitung und Einrichtung
Um das Tool produktiv nutzen zu können, ist es notwendig, zunächst einige Vorarbeiten zu erledigen. Dazu zählen die Vorbereitung der PowerShell-Umgebung auf dem ausführenden Client und die Erteilung der erforderlichen Berechtigungen in der zu untersuchenden M365-/Azure-Umgebung. Da die PowerShell-Module nicht über eine digitale Signatur verfügen, lässt sich die Integrität nicht prüfen. Daher muss zunächst die Richtlinie zur Ausführung der PowerShell-Cmdlets auf den Wert Unrestricted gesetzt werden, sodass PowerShell-Sicherheitsmechanismen die auszuführenden Module nicht blockieren. Idealerweise geschieht das nur temporär für die Ausführung im Bereich des aktiven Benutzers und nicht systemweit:
PS > Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser
Die folgenden Befehle installieren alle benötigten PowerShell-Module, darunter auch die Microsoft Extractor Suite selbst:
Das war die Leseprobe unseres heise-Plus-Artikels "Automatisierte Forensik in der Microsoft-Cloud". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.