CISA iz domovinske sigurnosti izdaje Sparrow alat za otkrivanje ranjivosti i iskorištavanja za Microsoft 365 mreže

S nedavnim izvješćem da hakeri iskorištavaju Microsoft 365 kako bi kompromitirali komercijalne i osjetljive vladine mreže, Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) američkog Ministarstva domovinske sigurnosti objavila je alat koji pomaže mrežnim administratorima da osiguraju svoju infrastrukturu temeljenu na Microsoftu 365.

Sparrow.ps1 je alat baziran na Powershell-u koji je kreirao CISA-in Cloud Forensics tim kako bi pomogao u otkrivanju mogućih kompromitiranih računa i aplikacija u okruženju Azure/m365. Alat je namijenjen osobama koje reagiraju na incidente, a fokusira se na uski opseg aktivnosti korisnika i aplikacija endemskih za napade temeljene na identitetu i autentifikaciji koji su nedavno viđeni u više sektora.

Sparrow.ps1 će provjeriti i instalirati potrebne PowerShell module na stroj za analizu, provjeriti objedinjenu evidenciju revizije u Azure/M365 za određene pokazatelje kompromisa (IoC), navesti Azure AD domene i provjeriti Azure principale usluge i njihova dopuštenja za Microsoft Graph API identificirati potencijalnu zlonamjernu aktivnost. Alat zatim ispisuje podatke u više CSV datoteka u zadanom direktoriju.

CISA upozorava da alat otvorenog koda nije zamjena za sustave za otkrivanje upada i nije sveobuhvatan niti iscrpan dostupnih podataka, a namijenjen je suzivanju većeg skupa dostupnih istražnih modula i telemetrije na one specifične za nedavne napade na federalne izvore identiteta i aplikacije.

Alat je besplatan za korištenje i može se pronaći na GitHubu ovdje.

preko theWindowsClub