CISA společnosti Homeland Security uvolňuje nástroj pro detekci zranitelnosti a zneužití Sparrow pro sítě Microsoft 365

S nedávnou zprávou, že hackeři zneužívají Microsoft 365 ke kompromitaci komerčních a citlivých vládních sítí, vydala agentura CISA (Cybersecurity & Infrastructure Security Agency) amerického ministerstva pro vnitřní bezpečnost nástroj, který pomáhá správcům sítí zabezpečit jejich infrastrukturu založenou na Microsoft 365.

Sparrow.ps1 je nástroj založený na Powershell vytvořený týmem Cloud Forensics společnosti CISA, který pomáhá detekovat možné ohrožené účty a aplikace v prostředí Azure/m365. Tento nástroj je určen pro použití odpůrci incidentů a zaměřuje se na úzký rozsah aktivit uživatelů a aplikací, které jsou endemické pro útoky založené na identitě a ověřování, které se v poslední době vyskytují v mnoha sektorech.

Sparrow.ps1 zkontroluje a nainstaluje požadované moduly PowerShell na analytický počítač, zkontroluje sjednocený protokol auditu v Azure/M365, zda neobsahuje určité indikátory kompromitace (IoC), zobrazí seznam domén Azure AD a zkontroluje instanční objekty Azure a jejich oprávnění k rozhraní Microsoft Graph API. k identifikaci potenciální škodlivé činnosti. Nástroj poté odešle data do několika souborů CSV ve výchozím adresáři.

CISA varuje, že nástroj s otevřeným zdrojovým kódem není náhradou za systémy detekce narušení a není ani úplný, ani vyčerpávající z dostupných dat, a je určen k zúžení větší sady dostupných vyšetřovacích modulů a telemetrie na ty, které jsou specifické pro nedávné útoky na federované zdroje identity a aplikací.

Nástroj je zdarma k použití a najdete jej na GitHubu zde.

přes WindowsClub