CISA de Homeland Security publie l'outil de détection des vulnérabilités et des exploits Sparrow pour les réseaux Microsoft 365

Avec le récent rapport selon lequel des pirates exploitent Microsoft 365 pour compromettre les réseaux gouvernementaux commerciaux et sensibles, la Cybersecurity & Infrastructure Security Agency (CISA) du Département américain de la sécurité intérieure a publié un outil pour aider les administrateurs réseau à sécuriser leur infrastructure basée sur Microsoft 365.

Sparrow.ps1 est un outil basé sur Powershell créé par l'équipe Cloud Forensics de CISA pour aider à détecter d'éventuels comptes et applications compromis dans l'environnement Azure/m365. L'outil est destiné à être utilisé par les intervenants en cas d'incident et se concentre sur la portée étroite de l'activité des utilisateurs et des applications endémique aux attaques basées sur l'identité et l'authentification observées récemment dans plusieurs secteurs.

Sparrow.ps1 vérifiera et installera les modules PowerShell requis sur la machine d'analyse, vérifiera le journal d'audit unifié dans Azure/M365 pour certains indicateurs de compromission (IoC), répertoriera les domaines Azure AD et vérifiera les principaux de service Azure et leurs autorisations d'API Microsoft Graph. pour identifier les activités malveillantes potentielles. L'outil génère ensuite les données dans plusieurs fichiers CSV dans un répertoire par défaut.

CISA avertit que l'outil open source ne remplace pas les systèmes de détection d'intrusion et n'est ni complet ni exhaustif des données disponibles, et vise à réduire un ensemble plus large de modules d'investigation disponibles et de télémétrie à ceux spécifiques aux attaques récentes contre les sources d'identité fédérées et applications.

L'outil est gratuit et peut être trouvé sur GitHub ici.

via leWindowsClub