目录: 模块说明 DFIR-O365RC PowerShell模块是允许DFIR分析人员收集与Office 365商业电子邮件妥协调查相关的日志的一组功能。 日志以JSON格式生成,并从两个主要数据源中检索: Office 365的。 Azure的AD 和。 可以从不同的端点查询这两个数据源: 数据源/端点 历史 表现 范围 前提条件(OS或Azure) 统一的审计日志/ 90天 较差的 所有Office 365日志(包括Azure AD) 没有 统一的审计日志/ 7天 好的 所有Office 365日志(包括Azure AD) Azure应用注册 天青AD日志/ 30天 好的 仅Azure AD登录和审核事件 仅Windows操作系统 天青AD日志/ 30天 好的 仅Azure AD登录和审核事件 没有 DFIR-O365RC是一个取证工具,它的目的不是实时监