A Homeland Security CISA kiadta a Sparrow sebezhetőséget és kizsákmányolást észlelő eszközt a Microsoft 365 hálózatokhoz

A közelmúltban megjelent jelentéssel, amely szerint a hackerek kihasználták a Microsoft 365-öt a kereskedelmi és érzékeny kormányzati hálózatok feltörésére, az Egyesült Államok Belbiztonsági Minisztériumának Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) kiadott egy eszközt, amely segít a hálózati rendszergazdáknak Microsoft 365-alapú infrastruktúrájuk biztonságában.

A Sparrow.ps1 egy Powershell-alapú eszköz, amelyet a CISA Cloud Forensics csapata hozott létre, hogy segítsen észlelni a lehetséges feltört fiókokat és alkalmazásokat az Azure/m365 környezetben. Az eszközt az incidens válaszadók számára szánják, és a felhasználói és alkalmazástevékenységek szűk körére összpontosít, amelyek az identitáson és hitelesítésen alapuló támadásokhoz kötődnek, amelyeket a közelmúltban több szektorban is tapasztaltak.

A Sparrow.ps1 ellenőrzi és telepíti a szükséges PowerShell-modulokat az elemzőgépen, ellenőrzi az Azure/M365 egyesített auditnaplóját bizonyos kompromisszumjelzők (IoC-k) tekintetében, listázza az Azure AD-tartományokat, valamint ellenőrzi az Azure-szolgáltatások egyszerűit és azok Microsoft Graph API engedélyeit. az esetleges rosszindulatú tevékenységek azonosítására. Az eszköz ezután több CSV-fájlba adja ki az adatokat egy alapértelmezett könyvtárban.

A CISA arra figyelmeztet, hogy a nyílt forráskódú eszköz nem helyettesíti a behatolásérzékelő rendszereket, és nem átfogó és nem kimerítő a rendelkezésre álló adatokból, és célja, hogy a rendelkezésre álló vizsgálati modulok és telemetria szélesebb körét szűkítse az egyesített identitásforrások elleni közelmúltbeli támadásokra. alkalmazások.

Az eszköz ingyenesen használható, és megtalálható a GitHubon itt.

keresztül a WindowsClub