0x00 背景

o365 21v为o365的大陆版本，主要给国内用户使用。微软提供了powershell工具和接口获取云上日志。微软o365国内的代理目前是世纪互联。本文介绍如何用powershell和配置证书拉取云上日志。

0x01 实践

第一步，ip权限开通：

由世纪互联运营的 Office 365 的 URL 和 IP 地址范围 - Microsoft 365 Enterprise | Microsoft Learn

需要开通这个子菜单下面所有ip/domain的访问权限。

特别是 login.parter.microsoftonline.cn 这个域名

第二步，安装EXO (Exchange Online PowerShell) ：

Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement

这两个命令表示在有网络的情况执行安装模块和导入模块。

第三步，连接Exchange Online Server。

由于Basic Auth不被推荐使用，故这里使用证书验证的方式，好处是可以不依赖于用户名密码。

如何使用证书连接Exchange Online Server ?

需要所属企业Exchange管理员协助申请一个证书。将证书安装在需要访问EXO的服务器上。连接代码如下：

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12  
$TenantId ="4edexxxx-xxxx-xxxxa-xxxx-8xxxxxxxxxx8"
$ApplicationId ="477xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
$CertificateThumbprint ="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" #安装好证书后在证书里查看
$Cert = Get-ChildItem Cert:\LocalMachine\My\$CertificateThumbprintConnect-ExchangeOnline -ExchangeEnvironmentName O365China -Certificate $Cert -AppID $ApplicationId -Organization YourUnitcloud.partner.onmschina.cn

 第四步，用脚本自动化实现。

官方没有给脚本，可能是怕调用的用户多增加服务器的压力。github上可以找到开源的脚本：

https://github.com/PwC-IR/Office-365-Extractor/

自己根据需要改一改，就可以自动化了。

我使用的是筛选指定组日志功能：

脚本选择关注的类型：
ExchangeAdmin,ExchangeItem,ExchangeItemGroup,AzureActiveDirectory,AzureActiveDirectoryStsLogon

0x02 后记

1.

查询所有用户一天日志量：

Calculating the number of audit logs
ExchangeAdmin: 130
ExchangeItem: 23785
ExchangeItemGroup: 13709
SharePoint: 85
SharePointFileOperation: 522
AzureActiveDirectory: 4589
AzureActiveDirectoryStsLogon: 23912
SecurityComplianceCenterEOPCmdlet: 391
PowerBIAudit: 9761
CRM: 745
SharePointListOperation: 22
PowerAppsApp: 71
DataInsightsRestApiAudit:
--------------------------------------
Total count:  77742

查询某个用户的日志量：
AzureActiveDirectoryStsLogon: 19

2.

powershell 获取当前时间：
Get-date -format "yyyy-MM-dd"

3.发现脚本一个问题，就是选择了部分组，最后拉取也是全部组，但选择全部组，可能会卡住拉不下来日志。