Homeland Securitys CISA släpper Sparrow-sårbarhets- och exploateringsverktyget för Microsoft 365-nätverk

Med den senaste rapporten om att hackare har utnyttjat Microsoft 365 för att äventyra kommersiella och känsliga statliga nätverk, har amerikanska Department of Homeland Securitys Cybersecurity & Infrastructure Security Agency (CISA) släppt ett verktyg för att hjälpa nätverksadministratörer att säkra sin Microsoft 365-baserade infrastruktur.

Sparrow.ps1 är ett Powershell-baserat verktyg skapat av CISAs Cloud Forensics-team för att hjälpa till att upptäcka möjliga komprometterade konton och applikationer i Azure/m365-miljön. Verktyget är avsett att användas av räddningspersonal och fokuserar på den smala omfattningen av användar- och applikationsaktivitet som är endemisk för identitets- och autentiseringsbaserade attacker som nyligen setts i flera sektorer.

Sparrow.ps1 kommer att kontrollera och installera de nödvändiga PowerShell-modulerna på analysmaskinen, kontrollera den förenade granskningsloggen i Azure/M365 för vissa indikatorer på kompromiss (IoC:er), lista Azure AD-domäner och kontrollera Azure-tjänstens principer och deras Microsoft Graph API-behörigheter för att identifiera potentiell skadlig aktivitet. Verktyget matar sedan ut data till flera CSV-filer i en standardkatalog.

CISA varnar för att verktyget med öppen källkod inte är en ersättning för system för intrångsdetektering och att det varken är heltäckande eller uttömmande för tillgängliga data, och är avsett att begränsa en större uppsättning tillgängliga undersökningsmoduler och telemetri till de som är specifika för de senaste attackerna på federerade identitetskällor och applikationer.

Verktyget är gratis att använda och kan hittas på GitHub här..

via WindowsClub