bitpusher2k/M365IRScripts

``` Bitpusher \`._,'/ (_- -_) \o/ The Digital Fox @VinceVulpes https://theTechRelay.com ``` https://github.com/bitpusher2k # M365IRScripts ## 模块化 M365 事件响应与调查脚本集合 ## 由 Bitpusher/The Digital Fox 创作 ## v3.1 最近更新 2025-07-26 - 审查所有脚本，更新函数，统一结构并开始移除 MSOL 版本命令 #comp #m365 #security #bec #script #irscript #powershell #collection #playbook #readme #lotlir #lolir #incident #response #investigation ### 脚本按原样提供。使用风险自担。不提供任何保证或担保。 # 目的： 在利用原生 M365 工具进行业务电子邮件妥协（BEC）响应/调查任务时，有些事情通过 M365 管理控制台更容易完成，有些则通过 PowerShell 更容易完成。单体式响应脚本在频繁使用时很有用，但更容易出错且故障排查更困难。在零散使用各种 PS 命令和脚本后（常常在使用之间忘记细节），已准备了一套系统化的脚本。该集合认识到整合与精炼每项任务的实用性——保持每个脚本模块化以便理解、维护，并组织成一个松散的调查流程。 如果你已部署 SIEM/SOAR 或其他第三方监控与响应工具，请使用它们！然而，这类工具往往因成本、时间线、访问权限、中断或其他问题而无法立即使用。特别是 SME/SMB 领域的 BEC 响应可能需要在没有第三方工具或更高级别许可所支持的更原生系统的情况下进行。在这种情况下，拥有一个易于遵循、学习并提供多种检索关键信息方法、且不依赖原生 M365 模块之外依赖的框架和脚本集会非常有价值。欢迎来到 LOtL IR——基于土地的入侵响应（Living off the Land Incident Response）。 本集合中的所有脚本都非常简单，不需要在使用前设置应用程序令牌等（它们都旨在手动运行）。此类简单脚本的实用性应表明，借助更高级的自动化与处理，能完成更多工作，以及此类检测与响应如何调整以使更强大的 SIEM/SOAR 平台更加有效。将这些脚本视为带有详细注释的命令记录，应能加快各种流程的执行，所有文档仅足以在实验后澄清执行。如果需要更多功能，那么确实有真正的开发者创建了真正的产品，能做更多——但需要付费。 # 脚本组织： * 00-09：脚本用于模块更新、连接以及日志处理。 * 10-29：更广泛的租户范围信息收集脚本。 * 30-39：更细粒度的用户或 IP 特定信息收集与设置修改脚本。 * 80-89：杂项。 * 90-99：用于审查与更新租户设置以及在完成后断开模块连接的脚本。 # 脚本描述： 来自其他来源的函数和脚本已在各自脚本中注明归属——如果遗漏了任何归属，请告知我。 * 00-Update-M365Modules.ps1 - 安装/更新所有需要的 M365 PowerShell 模块。原始脚本来自 https://github.com/directorcia * 01-Connect-M365Modules.ps1 - 通过 MS Graph、MSOL、IPPS、Exchange Online 和 Azure AD 模块连接 PowerShell。后续大多数脚本的先决条件。 * 02-ProcessEntraSignInLog.bat - 启用拖放下载的日志（来自 Entra ID 管理中心）到同名 PS 脚本的 Shim。 * 02-ProcessEntraSignInLog.ps1 - 处理从管理中心导出的 Entra ID 登录日志 CSV。重新排序列并重新格式化时间戳/位置数据，以便在手动审查时更实用。 * 03-ProcessEntraAuditLog.bat - 启用拖放下载的日志（来自 Entra ID 管理中心）到同名 PS 脚本的 Shim。 * 03-ProcessEntraAuditLog.ps1 - 处理从管理中心导出的 Entra ID 审计日志 CSV，以便在手动审查时更实用。 * 04-ProcessMailboxAuditLog.bat - 启用拖放通过日志导出的邮箱审计日志到同名 PS 脚本的 Shim。 * 04-ProcessMailboxAuditLog.ps1 - 处理 Exchange Online 邮箱审计日志 CSV（使用脚本 34 的 Search-MailboxAuditLog 命令导出），以便在手动审查时更实用。 * 05-ProcessUnifiedAuditLogFlatten.bat - 启用拖放下载的日志到同名 PS 脚本的 Shim。 * 05-ProcessUnifiedAuditLogFlatten.ps1 - 处理来自任何事件日志的 Unified Audit Log CSV。展平对象并在手动审查时更实用。 * 06-Lookup-IPInfoCSV.bat - 启用拖放下载的日志到同名 PS 脚本的 Shim。 * 06-Lookup-IPInfoCSV.ps1 - 处理包含 IP 地址列的导出日志 CSV（来自 Unified Audit Log 或其他来源）——为每个 IP 地址信息丰富 CSV。 * 07-ProcessObjectFlatten.bat - 启用拖放下载的日志到同名 PS 脚本的 Shim。 * 07-ProcessObjectFlatten.ps1 - 将 JSON 文件处理为更实用的展平 CSV。 * 08-SelectUniquePairsCSV.bat - 启用拖放下载的日志到同名 PS 脚本的 Shim。 * 08-SelectUniquePairsCSV.ps1 - 处理 CSV 文件，提取两列并返回仅包含唯一行的新 CSV。 * 09-Hydra-Collect.ps1 - 用于在调查开始时顺序运行常用收集脚本的集合。“Hydra”因为每个子脚本“头部”独立，且易于记忆。 * 10-Get-BasicTenantInformation.ps1 - 检索与进一步日志收集相关的基本租户信息与设置。验证租户名称、许可级别、UAL 是否启用等。 * 11-Get-EntraIDAuditAndSignInLogs30-P1.ps1 - 使用 AzureAD 和 Graph 模块检索 Entra ID 登录与审计日志。需要至少 Entra ID P1——否则必须通过管理控制台检索日志。 * 12-Search-UnifiedAuditLogSignIn.ps1 - 从 Unified Audit Log 检索登录日志条目（比 Entra ID 登录日志保留时间更长但细节较少）。 * 13-Get-AllM365EmailAddresses.ps1 - 列出 M365 租户上的所有电子邮件账户、邮箱类型与别名。 * 14-Get-AllUserPasswordReport.ps1 - 生成租户所有账户及密码信息的报告（创建日期、是否许可、最后同步时间、是否锁定、最后密码更改等）。 * 15-Search-UnifiedAuditLogIR.ps1 - 搜索并收集 UAL 中在调查中常有价值的事件——角色变更、域变更、用户添加、密码重置、文件创建等。 * 16-Get-UnifiedAuditLogEntries.ps1 - 在给定日期范围内导出所有 UAL 条目。 * 17-Search-MailboxSuspiciousRules.ps1 - 基于若干启发式规则（转发、规则名称、邮件移动、关键词、邮件删除）列出租户邮箱中的所有可疑规则。 * 18-Search-InboxRuleChanges.ps1 - 搜索 UAL 中所有最近的收件箱规则变更。 * 19-Get-AllInboxRules.ps1 - 列出租户所有账户上的所有收件箱规则。 * 20-Get-ForwardingSettings.ps1 - 列出所有设置了转发地址的邮箱。 * 21-Get-MailboxPermissions.ps1 - 列出所有设置了非标准权限的邮箱。 * 22-Get-EnterpriseApplications.ps1 - 列出租户上的所有企业应用程序，按最新到最旧排序。 * 23-Get-DefenderInformation.ps1 - 获取 Microsoft Defender 告警配置、威胁检测、阻止的发件人、隔离策略与隔离邮件信息。 * 24-Get-EntraIDRisk.ps1 - 生成近期 Entra ID 风险检测的报告。 * 25-Lockdown-Account.ps1 - 锁定疑似被妥协的给定 M365 账户（吊销会话、设置随机密码、阻止登录——对已同步至 AD 的账户无效，除非启用了密码写回）。 * 30-Get-BasicUserInformation.ps1 - 列出指定用户的角色与权限（发送权限、代为发送、完整访问权限）。 * 31-Get-UserMFAMethodsAndDevices.ps1 - 列出指定用户的注册认证方法与设备。 * 32-Get-UserJunkMailSettings.ps1 - 列出指定用户的垃圾邮件设置。 * 33-Get-UserMessageTrace.ps1 - 生成指定用户最近收件/发件邮件的报告。 * 34--MailboxAuditLog.ps1 - 生成指定用户或所有用户的邮箱审计日志活动报告。使用 Search-MailboxAuditLog 与 Search-UnifiedAuditLog。 * 36-Search-UALActivityByIPAddress.ps1 - 导出与给定 IP 地址集关联的所有 UAL 条目。 * 37-Search-UALActivityByUser.ps1 - 导出与给定用户账户集关联的所有 UAL 条目。 * 38-Search-UALFileAccessedByUser.ps1 - 导出指定用户的“FileAccessed”及相关记录（来自 Unified Audit Log）。 * 39-Search-UALMailItemsAccessedByUser.ps1 - 导出指定用户的“MailItemsAccessed”及相关记录（来自 Unified Audit Log）——此类记录现在应更广泛可用。 * 44-Get-ExchangeMessageContentSearch.ps1 - 遍历处理垃圾邮件/钓鱼邮件的常用内容搜索步骤——创建 Exchange 搜索基于发件人/日期/邮件主题，导出预览、导出内容、清除。 * 45-Search-MailboxMessage.ps1 - 使用 Graph API 搜索 Exchange Online 邮箱中的邮件 ID，并将邮件保存到文件夹同时生成元数据索引 CSV。 * 80-OneLinerReference.ps1 - 各种在 BEC 响应与调查中实用的 PowerShell 单行命令参考。 * 90-Get-MFAReport.ps1 - 通过 Microsoft Graph 导出每个账户的 M365 MFA 设置报告。 * 91-Get-CAPReport-P1.ps1 - 生成当前条件访问策略与命名位置的报告。需要至少 Entra ID P1。 * 92-Create-ConditionalAccessPolicies-P1.ps1 - 备份当前命名位置/条件访问策略，并设置报告中推荐的基本命名位置与条件访问策略（仅报告模式）。需要至少 Entra ID P1，某些策略需要 P2。 * 93-Get-SecureScoreInformation.ps1 - 检索并列出 M365 安全分数信息。 * 99-Disconnect-M365Modules.ps1 - 断开与所有 M365 模块的连接。完成上述脚本后运行。 * IRScript-Template.ps1 - 本系列中其他脚本的模板。 # 脚本使用： ## 用于 M365 商业电子邮件妥协（BEC）的基本调查流程： 本集合中的脚本大致按照在 BEC 调查与响应过程中使用的顺序组织。 所有输出报告均输出到当前用户桌面上的“Investigation”文件夹中的子文件夹（以被调查租户的主域命名）。可通过在运行脚本时设置 -OutputFolder 参数来覆盖此路径。 调查并修复 M365 中 BEC 事件的一般流程。IR 脚本可迭代使用以支持调查进展。 1. **控制事件**——阻止已知或疑似被妥协账户的登录并启动密码重置。检查用户角色与邮箱权限，并根据需要扩大事件范围。 2. **检索并审查账户日志**——从登录日志、审计日志、收件箱规则、邮箱审计日志开始。详见下文“调查提示”中关于使用这些 IR 脚本检索和审查 M365 设置/日志的具体说明。 3. **检查内置保护**——Entra ID 风险检测与 Microsoft Defender 告警/事件/隔离。 4. **审查租户企业应用程序**（https://portal.azure.com/#view/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/~/AppAppsPreview/applicationType/All）、受影响账户的 MFA 方法与注册设备（https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Users）、OneDrive 文件变更与垃圾邮件配置。 5. **根据日志中识别的恶意/可疑事件进行跳转关联**——按时间顺序是归纳的第一要素，拓扑是第二要素。按时间与来源邻近性关联事件。 6. **如果根据日志与设置发现扩大了受影响账户范围，则从步骤一并重复**。 7. **调查完成后且账户已锁定**——清除 Microsoft Defender 隔离中的消息，解除对任何被阻止账户的阻止，使用 eDiscovery 查找并删除邮箱中已识别的垃圾邮件/钓鱼邮件。 ## 使用这些脚本的调查提示： * 下载/克隆本仓库。 * 打开 PowerShell 窗口并导航到脚本所在位置。 * 通过运行 .\00-Update-M365Modules.ps1 安装/更新所需的 PowerShell 模块。 * 通过运行 .\01-Connect-M365Modules.ps1 连接到 M365 租户。 * 运行 .\09-Hydra-Collect.ps1 脚本以自动按顺序运行： * 10-Get-BasicTenantInformation.ps1 * 18-Search-InboxRuleChanges.ps1（第一轮） * 11-Get-EntraIDAuditAndSignInLogs30-P1.ps1 * 12-Search-UnifiedAuditLogSignIn.ps1 * 13-Get-AllM365EmailAddresses.ps1 * 14-Get-AllUserPasswordReport.ps1 * 17-Search-MailboxSuspiciousRules.ps1 * 19-Get-AllInboxRules.ps1 * 22-Get-EnterpriseApplications.ps1 * 20-Get-ForwardingSettings.ps1 * 21-Get-MailboxPermissions.ps1 * 23-Get-DefenderInformation.ps1 * 24-Get-EntraIDRisk.ps1 * 90-Get-MFAReport.ps1 * 91-Get-CAPReport-P1.ps1 * 93-Get-SecureScoreInformation.ps1 * 可选：15-Search-UnifiedAuditLogIR.ps1 * 可选：Get-UnifiedAuditLogEntries.ps1 * 18-Search-InboxRuleChanges.ps1（第二轮） * 可选：一组 Invictus IR 命令行工具（详情如下） * 可选：CrowdStrike Reporting Tool for Azure（详情如下） * **查看登录日志** * 从 https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/SignIns 导出最近一周的交互式与非交互式登录 CSV（事件范围可进一步扩大）。 * 如果登录日志保留时间不足，使用 .\12-Search-UnifiedAuditLogSignIn.ps1 从 UAL 导出登录信息（最长可回溯 180 天）。 * 使用 02-ProcessEntraSignInLog.bat/02-ProcessEntraSignInLog.ps1 脚本解析导出的登录日志 CSV。 * 使用 Excel 筛选器审查相关账户的登录记录，观察基准模式与偏差（推荐使用 Excel 宏——https://github.com/bitpusher2k/ExcelMacros）。 * 通过尽可能多的可疑特征评估可疑登录活动，包括： * 账户的历史登录记录（与历史记录的偏差更具可疑性） * 登录 IP 的地理位置（来自声誉不佳国家或短时间内远距离登录更可疑） * 登录 IP/ISP/公司的声誉（来自声誉不佳 IP 或与 VPN/DCH 关联的 IP 更可疑） * 用于登录的设备（未通过 Entra ID 注册/加入的端点登录更可疑） * 登录所用的操作系统（如 Mac OS、Linux 等不常见操作系统登录更可疑） * 登录所用的用户代理（不常见或自动化用户代理如 "python-httpx" 或 "axios" 更可疑） * 使用的认证因素（未通过 MFA 的登录，或通过“令牌声明满足 MFA 要求”的登录更可疑） * 使用上述识别出的可疑特征作为依据，重新过滤表格以提供事件上下文并可能识别出更多妥协。 * **查看审计日志** * 从 https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Audit 导出最近一周的 CSV 版本（事件范围可进一步扩大）。 * 使用 03-ProcessEntraAuditLog.bat/03-ProcessEntraAuditLog.ps1 脚本解析导出的审计日志 CSV。 * 查找与正在调查的账户相关的最近活动——权限变更、密码变更、认证方法添加等。 * **查看收件箱规则** * 使用 .\17-Search-MailboxSuspiciousRules.ps1、.\18-Search-InboxRuleChanges.ps1、.\19-Get-AllInboxRules.ps1 脚本导出收件箱规则报告。 * 仔细审查与正在调查账户相关的收件箱规则，以及 17-Search-MailboxSuspiciousRules.ps1 脚本输出的报告。 * 参考80-OneLinerReference.ps1 中与修复已发现的恶意收件箱规则相关的命令。 * **查看邮箱审计日志** * 使用 .\33-Get-UserMessageTrace.ps1 脚本对正在调查的账户运行消息跟踪。 * 使用 .\34-Get-MailboxAuditLog.ps1 脚本导出邮箱审计日志。 * 使用 05-ProcessUnifiedAuditLogFlatten.bat/05-ProcessUnifiedAuditLogFlatten.ps1 脚本解析导出的日志。 * 仔细审查输出，重点关注与任何已识别可疑 IP 地址相关的活动，以及与已知可疑邮件主题行相关的活动。 * **查看企业应用程序** * 在控制台中查看 https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/EnterpriseApps，或 https://portal.azure.com/#view/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/~/AppAppsPreview/applicationType/All，或使用 .\22-Get-EnterpriseApplications.ps1 导出报告。 * 查找在事件时间范围内添加的任何应用程序，以及常用于恶意目的的应用程序（例如 PerfectData、eM Client - https://cybercorner.tech/malicious-azure-application-perfectdata-software-and-office365-business-email-compromise/、https://cybercorner.tech/malicious-usage-of-em-client-in-business-email-compromise/）。 * **查看 Microsoft Defender 告警与 Entra ID 风险** * 在 https://security.microsoft.com 的“告警”中查看 Defender 告警，或使用 .\23-Get-DefenderInformation.ps1 导出报告。 * 在 https://portal.azure.com/#view/Microsoft_AAD_IAM/SecurityMenuBlade/~/RiskyUsers 和 https://portal.azure.com/#view/Microsoft_AAD_IAM/SecurityMenuBlade/~/RiskySignIns 中查看 Entra ID 风险，或使用 .\24-Get-EntraIDRisk.ps1。 * 审查最近的关联告警。 * **生成并审查与以下方面相关的附加报告** * 安全默认设置、传输规则、安全告警、管理员角色及拥有这些角色的用户、邮箱审计设置、OAuth 应用权限以及用户 MFA 设置…… * 使用 Invictus IR Microsoft 提取器套件模块命令行工具： * Get-EntraSecurityDefaults * Get-TransportRules * Get-SecurityAlerts * Get-AdminUsers * Get-MailboxAuditStatus * Get-OAuthPermissionsGraph * Get-MFA * 详见完整文档：https://microsoft-365-extractor-suite.readthedocs.io/en/latest/ * 已包含在 Hydra-Collect 脚本运行中。 * **生成并审查与以下方面相关的附加报告** * 联合配置、联合信任、邮箱上配置的客户端访问设置、远程域的邮件转发规则、邮箱 SMTP 转发规则、邮件传输规则、拥有“完全访问”权限的委托人以及被授予“Send As”或“SendOnBehalf”权限的委托人、Exchange Online PowerShell 启用用户、启用“审核旁路”的邮箱、全局地址列表中隐藏的管理员邮箱，以及管理员审核日志配置设置…… * 使用 CrowdStrike Reporting Tool for Azure (CRT)： * Invoke-WebRequest "https://github.com/CrowdStrike/CRT/raw/refs/heads/main/Get-CRTReport.ps1" -OutFile .\Get-CRTReport.ps1 ; .\Get-CRTReport.ps1 -WorkingDirectory "$($env:userprofile)\Desktop\Investigation\CRTReport" -Interactive * 已包含在 Hydra-Collect 脚本运行中。 * **控制妥协** * 在控制台中阻止登录并重置密码：https://admin.exchange.microsoft.com/ > 用户 > Active users，或使用 .\25-Lockdown-Account.ps1 脚本。 * 如果账户已同步至 AD 且租户未启用密码写回，则需要在 AD 中更改密码并同步至 Entra ID；否则账户登录会自动重新启用且密码会恢复。 * **查看用户账户设置** * 在控制台中查看账户的 MFA 方法：https://portal.azure.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers > 搜索该用户 > 认证方法，或使用 .\31-Get-UserMFAMethodsAndDevices.ps1 导出报告。 * 在控制台中查看账户设备：https://portal.azure.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers > 搜索该用户 > 设备，或使用 .\32-Get-UserJunkMailSettings.ps1 导出报告。 * 查找未识别的认证方法与设备。 * **进一步调查已知被妥协账户及来自已识别恶意 IP 地址的活动** * 运行 .\36-Search-UALActivityByIPAddress.ps1 导出与给定 IP 地址集关联的所有 UAL 条目。 * 运行 .\37-Search-UALActivityByUser.ps1 导出与特定用户账户关联的所有 UAL 条目。 * 解析导出的日志使用 05-ProcessUnifiedAuditLogFlatten.bat/05-ProcessUnifiedAuditLogFlatten.ps1 脚本。 * 审查报告，查找日志中尚未识别的任何活动。 * 使用 08-SelectUniquePairsCSV.bat/08-SelectUniquePairsCSV.ps1 筛选用户的登录历史至 IP 与会话 ID 组合，以识别所有恶意会话并发现/确认恶意 IP 地址。 * 运行 .\39-Search-UALMailItemsAccessedByUser.ps1 导出用户账户上访问的所有 MailItemsAccessed 事件，然后根据已知恶意 IP 地址与 SessionID 进行过滤，以识别已知消息与威胁行为者交互。 * 运行 .\45-Search-MailboxMessage.ps1（仍在开发中——尚未完全可用）以根据先前识别的 InternetMessageIDs 检索邮件信息。 * **搜索可疑钓鱼邮件（按发件人/主题行）并导出以供审查/清除** * 运行 .\44-Get-ExchangeMessageContentSearch.ps1 并按照提示操作。 * 参考 .\80-OneLinerReference.ps1 中关于 M365 BEC 调查/修复的常用与实用命令。 * **调查/修复完成后，运行 .\99-Disconnect-M365Modules.ps1 以断开与所有 M365 模块的连接。** # 关键要点： * 在需要之前准备好 BEC 事件响应。了解可用的日志类型及其是否已启用，并拥有可收集这些日志的权限账户。 * 对 M365 账户进行基础加固有助于防止 BEC 事件。 * 使用问题与检查清单定义调查范围，随着已知异常/可疑/恶意活动的画面逐渐清晰而迭代。 * 收件箱规则是威胁行为者在 BEC 事件中常用的一种战术。 * 识别可疑登录活动是评估事件初始访问范围的有用工具。基于历史与地理位置的异常源 IP 地址是一个良好的起点。 * 确定哪些电子邮件消息及其他数据已被访问和/或外泄，对于确定对组织的影响至关重要——这通常受限于大多数 M365 许可级别下有限的日志记录。 # 基础租户加固： * 减少拥有全局管理员权限的账户数量，并将这些账户与常规用户账户分离。 * 为所有账户启用 MFA——最好使用防钓鱼 MFA。 * 确保所有账户上已启用邮箱审计，且租户上已启用 UAL。 * 审查租户密码策略——强制使用强密码，并阻止使用与组织相关的易猜密码。 * 阻止电子邮件外部转发，阻止用户应用同意，阻止匿名共享。 * 使用条件访问策略提升租户安全性——参见 92-Create-ConditionalAccessPolicies-P1.ps1。 * 监控收件箱规则的创建、安全主体的添加、企业应用程序的创建。 * 实施安全意识培训。 # 提示： M365 要求某些操作（例如通过合规性搜索下载数据）必须使用 Edge 浏览器执行。因此：将 Edge 设置为 Windows 上执行事件响应的账户的默认浏览器。这样可使来自 PowerShell 的身份验证提示自动在 Edge 中打开，便于 PowerShell 会话 IR 脚本与 M365 管理控制台的身份验证。如果同时处理多个 M365 租户，可将 Edge 设置为每次关闭时清除所有数据，以保持整洁。 # 推荐资源： * Microsoft 应对 BEC 的步骤：https://learn.microsoft.com/en-us/defender-office-365/responding-to-a-compromised-email-account * FBI BEC 信息页面：https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-sc-and-crimes/business-email-compromise * Awesome-BEC：https://randomaccess3.github.io/Awesome-BEC/ * Invictus IR Microsoft 提取器套件：https://github.com/invictus-ir/Microsoft-Extractor-Suite * CrowdStrike Reporting Tool for Azure：https://github.com/CrowdStrike/CRT * Sparrow：https://github.com/cisagov/Sparrow * Hawk：https://github.com/T0pCyber/hawk * AzureHunter：https://github.com/darkquasar/AzureHunter * M365 extractor：https://github.com/PwC-IR/Office-365-Extractor * O365 脚本：https://o365reports.com * LazyAdmin：https://lazyadmin.nl/ * Evotec：https://github.com/EvotecIT * PwC-IR：https://github.com/PwC-IR/MIA-MailItemsAccessed- * IP 地址批量查询工具：https://www.infobyip.com/ipbulklookup.php

标签：AI合规, BEC, Bitpusher, IPv6, Libemu, lolir, lotlir, M365, M365IRScripts, Office 365, PB级数据处理, Playbook, PowerShell, SOAR, The Digital Fox, 代码集合, 取证, 商业邮件欺骗, 安全响应, 安全运维, 库, 应急响应, 操作手册, 数字取证, 模块化脚本, 网络调试, 脚本, 自动化, 自动化脚本, 调查, 邮箱取证