Homeland Security's CISA brengt Sparrow-kwetsbaarheids- en exploitdetectietool uit voor Microsoft 365-netwerken

Met het recente rapport dat hackers Microsoft 365 hebben misbruikt om commerciële en gevoelige overheidsnetwerken te compromitteren, heeft het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Binnenlandse Veiligheid een tool uitgebracht om netwerkbeheerders te helpen hun Microsoft 365-gebaseerde infrastructuur te beveiligen.

Sparrow.ps1 is een op Powershell gebaseerde tool die is gemaakt door het Cloud Forensics-team van CISA om mogelijke gecompromitteerde accounts en applicaties in de Azure/m365-omgeving te detecteren. De tool is bedoeld voor gebruik door incidentresponders en richt zich op de beperkte reikwijdte van gebruikers- en applicatieactiviteiten die endemisch zijn voor op identiteit en authenticatie gebaseerde aanvallen die recentelijk in meerdere sectoren zijn waargenomen.

Sparrow.ps1 controleert en installeert de vereiste PowerShell-modules op de analysemachine, controleert het uniforme auditlogboek in Azure/M365 op bepaalde indicatoren van compromis (IoC's), vermeldt Azure AD-domeinen en controleert Azure-service-principals en hun Microsoft Graph API-machtigingen om potentiële kwaadaardige activiteiten te identificeren. De tool voert de gegevens vervolgens uit in meerdere CSV-bestanden in een standaardmap.

CISA waarschuwt dat de open-sourcetool geen vervanging is voor inbraakdetectiesystemen en de beschikbare gegevens niet alomvattend of uitputtend is, en bedoeld is om een ​​grotere reeks beschikbare onderzoeksmodules en telemetrie te beperken tot die specifiek zijn voor recente aanvallen op federatieve identiteitsbronnen en toepassingen.

De tool is gratis te gebruiken en is te vinden op GitHub hier.

via de WindowsClub