Collecte de journaux Office 365 avec DFIR-O365RC — Léonard Savina
Date : 02 June 2021 à 16:45 — 15 min.
Office 365 est une solution de travail collaboratif proposée par Microsoft qui est de plus en plus utilisée. Cette solution est donc devenue une cible privilégiée pour les attaquants.
De plus les nombreuses adhérences entre la solution Office 365 qui se base sur l’annuaire Azure Active Directory et l’annuaire du SI interne Active Directory permettent souvent à un attaquant de se latéraliser d’un environnement à l’autre.
Il est donc essentiel d’analyser les journaux liés à l’administration et l’utilisation de cette solution lors d’une investigation sur un incident.
L'outil DFIR-O365RC récupère les journaux unifiés d’audit Office 365 ainsi que les journaux d’authentification et d’audit Azure Active Directory et les exporte au format JSON. Ce format permet une analyse facile des données et une intégration aisée dans la chaîne de traitement d’analyse forensique utilisée par le CERT-FR. Le module, composé de différentes fonctions, permet d’adapter la collecte en fonction du type d’investigation, de la nature et du niveau de licence de la plateforme Office 365 investiguée.
La présentation de ces fonctions permettra de faire un rapide tour d’horizon de différentes attaques sur Office 365 et de déterminer comment les mettre en évidence via l'analyse des journaux collectés.