CISA Homeland Security vydáva nástroj na detekciu zraniteľnosti a zneužitia Sparrow pre siete Microsoft 365

S nedávnou správou, že hackeri zneužívajú Microsoft 365 na kompromitáciu komerčných a citlivých vládnych sietí, vydala Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) Ministerstva vnútornej bezpečnosti USA nástroj, ktorý pomáha správcom siete zabezpečiť infraštruktúru založenú na Microsoft 365.

Sparrow.ps1 je nástroj založený na Powershell, ktorý vytvoril tím CISA Cloud Forensics, ktorý pomáha odhaliť možné napadnuté účty a aplikácie v prostredí Azure/m365. Tento nástroj je určený na použitie osobami zaisťujúcimi reakciu na incidenty a zameriava sa na úzky rozsah aktivít používateľov a aplikácií, ktoré sú endemické pre útoky založené na identite a autentifikácii, ktoré sa v poslednej dobe vyskytujú vo viacerých sektoroch.

Sparrow.ps1 skontroluje a nainštaluje požadované moduly PowerShell na analytický stroj, skontroluje zjednotený protokol auditu v Azure/M365, či neobsahuje určité indikátory kompromisu (IoC), vypíše zoznam domén Azure AD a skontroluje principály služieb Azure a ich povolenia rozhrania Microsoft Graph API. na identifikáciu potenciálnej škodlivej činnosti. Nástroj potom odošle údaje do viacerých súborov CSV v predvolenom adresári.

CISA varuje, že nástroj s otvoreným zdrojovým kódom nie je náhradou za systémy detekcie narušenia a nie je ani komplexný, ani vyčerpávajúci z dostupných údajov, a je určený na zúženie väčšieho súboru dostupných vyšetrovacích modulov a telemetrie na tie, ktoré sú špecifické pre nedávne útoky na federatívne zdroje identity a aplikácie.

Tento nástroj je bezplatný a nájdete ho na GitHub tu.

via WindowsClub