国土安全部 CISA 发布适用于 Microsoft 365 网络的 Sparrow 漏洞和漏洞利用检测工具

最近有报告称黑客一直在利用 Microsoft 365 破坏商业和敏感的政府网络，美国国土安全部的网络安全和基础设施安全局 (CISA) 发布了一个工具来帮助网络管理员保护他们基于 Microsoft 365 的基础设施。

Sparrow.ps1 是由 CISA 的云取证团队创建的基于 Powershell 的工具，用于帮助检测 Azure/m365 环境中可能被盗用的帐户和应用程序。 该工具旨在供事件响应者使用，并侧重于最近在多个部门中出现的基于身份和身份验证的攻击所特有的狭窄范围的用户和应用程序活动。

Sparrow.ps1 将检查并在分析机器上安装所需的 PowerShell 模块，检查 Azure/M365 中的统一审计日志以了解某些危害指标 (IoC)，列出 Azure AD 域，并检查 Azure 服务主体及其 Microsoft Graph API 权限识别潜在的恶意活动。 然后，该工具将数据输出到默认目录中的多个 CSV 文件中。

CISA 警告说，开源工具不是入侵检测系统的替代品，既不全面也不详尽，旨在将更大的可用调查模块和遥测模块缩小到特定于最近对联合身份源和应用程序。

该工具是免费使用的，可以在 GitHub 上找到 此处.

通过 视窗俱乐部