Forensics w chmurze – jak analizować dane z Microsoft 365 i Google Workspace
Forensics w chmurze – jak analizować dane z Microsoft 365 i Google Workspace
Chmura stała się podstawowym środowiskiem pracy dla większości firm. Systemy takie jak Microsoft 365 i Google Workspace oferują nie tylko elastyczność i dostęp z dowolnego miejsca, ale także nowe wyzwania w zakresie bezpieczeństwa. Gdy dochodzi do incydentu, analityk bezpieczeństwa musi przeprowadzić analizę powłamaniową (cloud forensics), czyli zidentyfikować źródło ataku, zrozumieć jego przebieg i zabezpieczyć dowody cyfrowe.
Poniższy przewodnik wyjaśnia, jak przeprowadzić analizę forensic w chmurze, z naciskiem na środowiska Microsoft 365 i Google Workspace — od identyfikacji logów, po zabezpieczanie danych i analizę anomalii.
☁️ Czym jest cloud forensics?
Cloud forensics to dziedzina analizy cyfrowej skupiająca się na danych przetwarzanych, przechowywanych lub przesyłanych w chmurze. W odróżnieniu od klasycznej analizy systemów lokalnych, analityk nie ma bezpośredniego dostępu do sprzętu – pracuje na danych logowania, śladach kont użytkowników, zapisach API czy raportach bezpieczeństwa udostępnianych przez dostawcę usług chmurowych.
Kluczowe cele cloud forensics:
- wykrycie nieautoryzowanego dostępu,
- identyfikacja źródła ataku (np. adresów IP, tokenów API),
- analiza zachowania użytkowników i kont administracyjnych,
- odzyskanie lub zabezpieczenie usuniętych danych,
- przygotowanie raportu dowodowego zgodnego z zasadami chain of custody.
🔐 Etapy analizy powłamaniowej w chmurze
1. Zabezpieczenie i kopia danych
W przypadku incydentu najważniejsze jest szybkie zabezpieczenie dowodów. W chmurze nie wykonujemy obrazu dysku, lecz:
- eksportujemy logi audytowe,
- pobieramy zrzuty skrzynek pocztowych i danych użytkowników,
- archiwizujemy alerty bezpieczeństwa (np. z Microsoft Defender lub Google Alert Center).
W Microsoft 365 dane można eksportować przez eDiscovery lub PowerShell, w Google Workspace – z użyciem Google Vault.
2. Identyfikacja konta i wektora ataku
Kolejny krok to ustalenie, które konto zostało zaatakowane i w jaki sposób.
Najczęstsze metody ataku w chmurze to:
- phishing i przejęcie konta,
- ataki przez złośliwe aplikacje OAuth,
- kradzież tokenów sesyjnych,
- nadużycie uprawnień administratora.
Warto sprawdzić:
- nietypowe logowania (np. z innego kraju),
- zmianę ustawień zabezpieczeń konta,
- nadanie nowych ról administracyjnych,
- nietypowe działania w API.
🧰 Narzędzia do analizy danych z Microsoft 365
🔎 Microsoft Purview (dawniej eDiscovery)
To wbudowane narzędzie do wyszukiwania i analizy danych w Microsoft 365. Pozwala tworzyć kopie dowodowe, przeszukiwać maile, czaty Teams i pliki w OneDrive.
Najważniejsze funkcje:
- przeszukiwanie danych w całej organizacji,
- eksport logów i metadanych,
- filtrowanie po dacie, użytkowniku, lokalizacji i działaniu,
- współpraca z narzędziami zewnętrznymi (np. Splunk, SIEM).
👉 Warto dodać: dane z Purview można analizować dalej w środowisku Autopsy lub Elastic Stack, aby wizualizować powiązania zdarzeń.
🧾 Microsoft 365 Audit Logs
Każde działanie użytkownika w Microsoft 365 jest zapisywane w logach audytowych: logowania, wysyłanie e-maili, udostępnienia plików czy zmiany ustawień.
Jak je pobrać:
- z poziomu Security & Compliance Center,
- lub za pomocą PowerShella:
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -Operations UserLoggedIn, FileAccessed
Analiza logów umożliwia wykrycie anomalii, np. dostępu do danych w nienaturalnych godzinach lub z niespotykanych lokalizacji IP.
🛡️ Microsoft Defender for Cloud Apps
To zaawansowane narzędzie klasy CASB (Cloud Access Security Broker), które automatycznie monitoruje działania użytkowników w chmurze i wykrywa nietypowe zachowania.
Najważniejsze funkcje forensic:
- śledzenie przepływu danych między aplikacjami,
- wykrywanie nieautoryzowanych uploadów i downloadów,
- analiza podejrzanych logowań i sesji,
- identyfikacja malware w OneDrive i SharePoint.
🔍 Narzędzia do analizy w Google Workspace
🧭 Google Vault
Vault to centralne narzędzie do archiwizacji, wyszukiwania i eksportu danych. Pozwala analizować treści z Gmaila, Dysku Google, Chatów i Meet.
Najważniejsze funkcje:
- archiwizacja zgodna z RODO i standardami sądowymi,
- przeszukiwanie według użytkownika, słowa kluczowego lub czasu,
- eksport plików w formacie .mbox lub .json,
- odtwarzanie historii zmian dokumentów.
Vault jest podstawowym elementem cloud forensics w środowisku Google.
📊 Security Investigation Tool
Dostępne w Google Admin Console (dla wyższych planów), narzędzie to pozwala przeglądać logi aktywności użytkowników i urządzeń, w tym:
- logowania,
- udostępnienia plików,
- zdarzenia związane z e-mailami,
- aktywność API i OAuth.
Pozwala także blokować podejrzane konta i cofać dostęp do plików bezpośrednio z panelu analitycznego.
📡 Analiza śladów sieciowych i API
Chociaż dane chmurowe nie są analizowane bezpośrednio z dysków, można śledzić ich przepływ za pomocą API i logów sieciowych.
Warto wykorzystać:
- Microsoft Graph API – do monitorowania aktywności użytkowników i zmian w plikach,
- Google Workspace Admin SDK – do analizy logów i sesji,
- Wireshark lub NetworkMiner – do pasywnej analizy ruchu sieciowego w środowisku lokalnym.
Takie podejście pozwala wykryć, z jakich adresów IP i aplikacji pochodziły połączenia z kont chmurowych.
🔒 Dobre praktyki cloud forensics
- Zabezpieczaj dane natychmiast – logi w chmurze mogą być nadpisane po 30 dniach.
- Twórz kopie eksportów i hashe SHA256 dla zachowania integralności.
- Analizuj kontekst – atak w chmurze często łączy się z phishingiem lub złośliwym tokenem OAuth.
- Dokumentuj każdy krok – ważne przy raportowaniu incydentu i działaniach prawnych.
- Integruj dane z SIEM (np. Splunk, Sentinel) – dla pełnego obrazu ataku.
🧠 Podsumowanie
Analiza forensic w chmurze wymaga nowego podejścia — zamiast obrazów dysków i lokalnych logów, pracujemy na danych udostępnianych przez dostawców usług. W środowiskach takich jak Microsoft 365 i Google Workspace, kluczowe jest szybkie zabezpieczenie logów, identyfikacja podejrzanych sesji i analiza przepływu danych.
Narzędzia takie jak Microsoft Purview, Defender for Cloud Apps, Google Vault czy Security Investigation Tool umożliwiają skuteczne śledzenie incydentów i minimalizację szkód po ataku. W połączeniu z zewnętrznymi narzędziami forensic (np. Autopsy, Volatility, Wireshark) stanowią kompletny ekosystem bezpieczeństwa w chmurze.
🛰️ Monitoring sieci i logów systemowych w Windows 11: Wczesne wykrywanie zagrożeń 📘 Wprowadzenie W dobie intensyfikacji cyberataków i zaawansowanego Czytaj dalej
Cyberbezpieczeństwo urządzeń mobilnych: Jak zabezpieczyć smartfony i tablety przed złośliwym oprogramowaniem? Wstęp W dzisiejszych czasach smartfony i tablety stały się Czytaj dalej
