Analise Forense no Microsoft 365 – Utilizando Hawk

A análise de dados requer que antes de tudo você tenha os dados!  Parece obvio, é necessário ter algo para analisar antes de analisar!

O Microsoft 365 é um gerador de dados e não importa o tamanho do seu Tenant, não importa se você administra 100 ou 1000 usuários, você vai ter dados novos todos os dias, todas as horas, todos os minutos!

Obter os dados passa a ser um desafio imenso e hoje vamos falar um pouco sobre como obter dados importantes para que sejam analisados e sejam convertidos em informações de valor.

Com os dados convertidos em informações seremos capazes de realizar tomadas de decisão mais abrangente e mais assertivas.

Para obter e analisar os dados resolvi falar sobre o Hawk! Então vamos comigo que logo explicou.

O que é Hawk?

Trata-se de um projeto mantido pela comunidade Hawk, neste link você pode ler mais sobre eles.

A comunidade Hawk desenvolveu uma serie de scripts que são capazes de coletar e analisar os dados do ambiente de Microsoft 365 e assim ajudar os administradores ao longo da jornada.

Como usar a Ferramenta Hawk?

Todo o processo está bem documentado neste link, mas, se você for continuar comigo eu explico passo a passo como utilizar e mostro quais os resultados adquiridos.

Utilizando a Ferramenta Hawk

Para que você consiga executar uma investigação bem-sucedida esses são os pré-requisitos necessários:

  1. Ter um diretório ativo
    1. No meu caso vou usar o meu tenant como exemplo
  2. Ser Global Administrator
  3. Ser Administrador do Exchange Online

Atenção: É fortemente recomendado que toda investigação tenha escopo, a começar por quem investiga, então sugiro que você crie um grupo de função administrativa e atribua o usuário que fará a investigação neste grupo, está bom, entendi, você não quer fazer! Então você pode adicionar o usuário ao gerenciamento de conformidade, alerte o seu usuário que ele vai ter muito poder nas mãos.

Execute todos os passos a seguir do PowerShell como administrador:

Execute o seguinte para garantir que você não se depara com problemas instalando módulos adicionais e executando o Hawk.

  • Set-ExecutionPolicy RemoteSigned

OBS: Verifique se essa política não afeta nenhuma regra interna de sua organização.

Execute o seguinte comando para instalar o módulo Hawk PowerShell da Galeria PowerShell.

  • Install-Module -Name Hawk

Se você não tiver o Módulo Exchange Online PowerShell V2 instalado. Recomendamos o uso desta versão porque suporta autenticação moderna.

  • Install-Module -Name ExchangeOnlineManagement
  • Import-Module ExchangeOnlineManagement

Efetue Logons no ambiente de nuvem

Faça login em todos os serviços de nuvem antes de executar os módulos do Hawk.

  • Connect-AzureAD
    • Execute o seguinte comando para acessar os cmdlets para o Azure Active Directory usando uma conta autenticada. 
  • Connect-MsolService
    • Execute o seguinte comando para acessar os cmdlets para o Microsoft 365 usando uma conta autenticada. Este comando realmente se conecta novamente ao Azure Active Directory, mas expõe os cmdlets adicionais. 
  1. Connect-ExchangeOnlineConnect-Exo
    1.  Execute o seguinte comando para acessar os cmdlets para o Microsoft Exchange Online. Como dito anteriormente, o Módulo Exchange Online PowerShell V2 é recomendado. Se você não instalou V2, execute 

Executando o Hawk para análise forense inicial

Execute o seguinte comando para iniciar sua investigação inicial com Hawk Start-HawkTenantInvestigation. Após isso determine o escopo da investigação inicial.

  • Start-HawkTenantInvestigation
  • Aceitar isenção de responsabilidade
  • Definir diretório de saída

Após isso vamos determinar os dias de pesquisa

  • Primeiro Dia de Janela de Pesquisa (1-90 dias)
  • Último dia de janela de pesquisa (1-90 dias)

Uma vez concluído a investigação vamos ter diversos arquivos de log (csv, txt e xml) disponíveis no diretório apontado na execução do scritp, abaixo eu mostro os arquivos de logs disponíveis e uma tabela com o que vem nesses logs.

Arquivos dentro do Diretório apontado

 No Diretório Tenant teremos todos os logs da investigação.

São diversos logs em arquivos CSVs e XML prontos para serem lidos e analisados e assim podemos melhorar nosso ambiente provendo mais segurança.

Abaixo listo todos os itens que o Hawk analisa.

Arquivo de registroLocalizaçãoDescrição
_InvestigateHawk_{Date}_{Time}É um arquivo rápido e sujo de algumas coisas suspeitas que você pode querer começar sua investigação.
Falcão.logHawk_{Date}_{Time}Cópia da saída dos processos observados na janela de comando PowerShell.
YYYY-MM-DD_logs.csvHawk_{Date}_{Time}Registro de todas as funções que foram desempenhantes como parte da “Start-HawkTenantInvestigation”.
_Investigate_Impersonation_Rights.csvHawk_{Date}_{Time}\TenantListe todos os usuários com direitos de representação se encontrarmos mais do que o padrão de um.
_Investigate_Impersonation_Roles.csvHawk_{Date}_{Time}\TenantListe todos os usuários com funções de personificação para usuários que tenham acesso se encontrarmos mais do que o padrão de um.
_Investigate_Simple_New_InboxRule.csvHawk_{Date}_{Time}\TenantCmdlets para criar regras de caixa de entrada que encaminhem ou excluam e-mails em um formato simples.
AdminAuditLogConfig.txtHawk_{Date}_{Time}\TenantConfiguração da configuração de log de auditoria de administrador do Exchange.
ApplicationCertsAndSecrets.csvHawk_{Date}_{Time}\TenantCertificado de Inscrição e Detalhes de Senha.
Azure_Application_Audit.csvHawk_{Date}_{Time}\TenantPesquise o registro de auditoria unificado para eventos relacionados à atividade do aplicativo.
AzureADAdministrators.csvHawk_{Date}_{Time}\TenantInquilino Azure Active Directory Administrator exportação.
Consent_Grants.csvHawk_{Date}_{Time}\TenantSaída de todos os subsídios de consentimento.
EDiscoveryRoleAssignments.csvHawk_{Date}_{Time}\TenantTodos os usuários que são atribuídos a uma das funções descobertas.
EDiscoveryRoles.csvHawk_{Date}_{Time}\TenantTodas as funções que têm acesso aos cmdlets New-MailboxSearch e Search-Mailbox.
ExchangeOnlineAdministrators.csvHawk_{Date}_{Time}\TenantAdministradores de Troca de Exportações.
Forwarding_Recipients.csvHawk_{Date}_{Time}\TenantLista de endereços de E-mail exclusivos que foram configurados para receber e-mails via encaminhamento.
Impersonation_Rights.csvHawk_{Date}_{Time}\TenantListe todos os usuários com direitos de representação se encontrarmos apenas o padrão.
Impersonation_Roles.csvHawk_{Date}_{Time}\TenantListe todos os usuários com funções de personificação para usuários que tenham acesso se encontrarmos apenas o padrão.
OrgConfig.txtHawk_{Date}_{Time}\TenantDados de configuração de uma organização exchange.
RBAC_Changes.csvHawk_{Date}_{Time}\TenantTodas as alterações do RBAC no formato Raw.
RemoteDomain.csvHawk_{Date}_{Time}\TenantInformações de configuração para os domínios remotos configurados em sua organização.
Simple_Forwarding_Changes.csvHawk_{Date}_{Time}\TenantCmdlets que alteram as configurações de encaminhamento em um formato simples de ler.
Simple_Mailbox_Permissions.csvHawk_{Date}_{Time}\TenantCmdlets que adicionam permissões aos usuários em um formato simples de ler.
Simple_New_InboxRule.csvHawk_{Date}_{Time}\TenantCmdlets para criar quaisquer novas regras de caixa de entrada em um formato simples de ler.
Simple_RBAC_Changes.csvHawk_{Date}_{Time}\TenantTodos os cmdlets RBAC que foram executados em um formato fácil de ler.
SPNCertsAndSecrets.csvHawk_{Date}_{Time}\TenantCertificado principal do serviço e detalhes de senha.
TransporteConfig.csvHawk_{Date}_{Time}\TenantConfigurações de transporte em toda a organização.
Regras de Transporte.csvHawk_{Date}_{Time}\TenantRegras de transporte (regras de fluxo de correio) em sua organização.

Referencias

https://cloudforensicator.com/

(2387) Hawk Tenant Investigation – YouTube

Documentação (cloudforensicator.com)


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s