basht0p/BEC-Toolkit

# BEC 调查模块 **目的** 使用 Microsoft Graph 查询 Microsoft 365 审计日志，通过 PowerShell 模块调查商业电子邮件欺诈 (BEC)。 此模块旨在减轻通过笨拙的审计日志和 CSV 文件中的嵌套 JSON 对象进行爬取的负担（感谢，微软）。 ## 要求 ### 必需模块 - `Microsoft.Graph.Applications` - `Microsoft.Graph.Authentication` - `Microsoft.Graph.Beta.Security` ### 必需作用域 - `AuditLog.Read.All` - `AuditLogsQuery.Read.All` ## 函数 ### 获取 BECAccessed 邮件项 检索 `MailItemsAccessed` 事件。 ``` Get-BECAccessedMailItems [-AuditLogSearchName ] [-ExportCsv] ``` **示例** ``` # 使用最近的成功审计日志搜索 Get-BECAccessedMailItems # 使用按名称指定的审计日志搜索 Get-BECAccessedMailItems -AuditLogSearchName "BEC-Incident-2025-05-28" # 将结果导出到 CSV Get-BECAccessedMailItems -AuditLogSearchName "BEC-Incident-2025-05-28" -ExportCsv ``` ### 获取 BECSent 邮件项 检索 `Send` 事件。 ``` Get-BECSentMailItems [-AuditLogSearchName ] [-ExportCsv] ``` **示例** ``` Get-BECSentMailItems Get-BECSentMailItems -AuditLogSearchName "BEC-Incident-2025-05-28" -ExportCsv ``` ### 获取 BEC 文件操作 检索文件操作 (`File*`)。 ``` Get-BECFileOperations [-AuditLogSearchName ] [-ExportCsv] ``` **示例** ``` Get-BECFileOperations -ExportCsv Get-BECFileOperations -AuditLogSearchName "BEC-Incident-2025-05-28" -ExportCsv ``` ### 获取 BEC 共享操作 检索与共享相关的操作。 ``` Get-BECSharingOperations [-AuditLogSearchName ] [-ExportCsv] ``` **示例** ``` Get-BECSharingOperations Get-BECSharingOperations -AuditLogSearchName "BEC-Incident-2025-05-28" -ExportCsv ``` ### 获取 BECAuthentications 检索身份验证事件 (`UserLoggedIn`, `UserLoginFailed`)。 ``` Get-BECAuthentications [-AuditLogSearchName ] [-ExportCsv] ``` **示例** ``` Get-BECAuthentications -ExportCsv Get-BECAuthentications -AuditLogSearchName "BEC-Incident-2025-05-28" -ExportCsv ``` ### 调用 BEC 调查 运行完整的 BEC 调查（所有函数）并导出结果。 ``` Invoke-BECInvestigation [-AuditLogSearchName ] ``` **示例** ``` # 使用最新的成功审计日志搜索运行完整调查 Invoke-BECInvestigation # 针对命名的审计日志搜索运行完整调查 Invoke-BECInvestigation -AuditLogSearchName "BEC-Incident-2025-05-28" ``` ## 导出输出 当使用 `-ExportCsv`（或 `Invoke-BECInvestigation`）时，结果文件将写入： ``` .\BEC_Export\ ├── AccessedMail.csv ├── SentMail.csv ├── FileOperations.csv ├── SharingOperations.csv └── Authentications.csv ``` ## 典型使用工作流程 ``` # 1. 针对特定的审计日志搜索运行完整调查 Invoke-BECInvestigation -AuditLogSearchName "BEC-Q2-2025" # 2. 或根据需要运行单个函数 Get-BECAccessedMailItems -AuditLogSearchName "BEC-Q2-2025" -ExportCsv Get-BECSentMailItems -AuditLogSearchName "BEC-Q2-2025" -ExportCsv Get-BECAuthentications -AuditLogSearchName "BEC-Q2-2025" -ExportCsv ``` *使用 AI 生成的文档。*

标签：AI合规, BEC攻击, JSON解析, Libemu, Microsoft 365, PowerShell脚本, 企业安全, 威胁情报, 安全响应, 安全模块, 安全调查, 审计日志, 开发者工具, 数据爬取, 电子邮件安全, 网络安全, 网络资产管理, 隐私保护