CISA de la Homeland Security lansează vulnerabilitatea Sparrow și instrumentul de detectare a exploatării pentru rețelele Microsoft 365
2 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Odată cu raportul recent conform căruia hackerii au exploatat Microsoft 365 pentru a compromite rețelele guvernamentale comerciale și sensibile, Agenția de securitate cibernetică și infrastructură (CISA) a Departamentului pentru Securitate Internă din SUA a lansat un instrument pentru a ajuta administratorii de rețea să-și securizeze infrastructura bazată pe Microsoft 365.
Sparrow.ps1 este un instrument bazat pe Powershell creat de echipa Cloud Forensics a CISA pentru a ajuta la detectarea posibilelor conturi și aplicații compromise în mediul Azure/m365. Instrumentul este destinat utilizării de către respondenții la incident și se concentrează pe domeniul restrâns al activității utilizatorilor și aplicațiilor endemice la atacurile bazate pe identitate și autentificare, observate recent în mai multe sectoare.
Sparrow.ps1 va verifica și instala modulele PowerShell necesare pe mașina de analiză, va verifica jurnalul de audit unificat în Azure/M365 pentru anumiți indicatori de compromis (IoC), va lista domeniile Azure AD și va verifica directorii de servicii Azure și permisiunile lor Microsoft Graph API. pentru a identifica activitățile potențiale rău intenționate. Instrumentul trimite apoi datele în mai multe fișiere CSV într-un director implicit.
CISA avertizează că instrumentul open-source nu este un înlocuitor pentru sistemele de detectare a intruziunilor și nu este nici cuprinzător, nici exhaustiv cu privire la datele disponibile și are scopul de a restrânge un set mai mare de module de investigare și telemetrie disponibile la cele specifice atacurilor recente asupra surselor de identitate federate și aplicatii.
Instrumentul este gratuit și poate fi găsit pe GitHub aici.
