國土安全部 CISA 發布適用於 Microsoft 365 網路的 Sparrow 漏洞和漏洞利用偵測工具

最近有報告稱黑客一直在利用 Microsoft 365 破壞商業和敏感的政府網絡，美國國土安全部的網絡安全和基礎設施安全局 (CISA) 發布了一個工具來幫助網絡管理員保護他們基於 Microsoft 365 的基礎設施。

Sparrow.ps1 是由 CISA 的雲取證團隊創建的基於 Powershell 的工具，用於幫助檢測 Azure/m365 環境中可能被盜用的帳戶和應用程序。 該工具旨在供事件響應者使用，並側重於最近在多個部門中出現的基於身份和身份驗證的攻擊所特有的狹窄範圍的用戶和應用程序活動。

Sparrow.ps1 將檢查並在分析機器上安裝所需的 PowerShell 模塊，檢查 Azure/M365 中的統一審計日誌以了解某些危害指標 (IoC)，列出 Azure AD 域，並檢查 Azure 服務主體及其 Microsoft Graph API 權限識別潛在的惡意活動。 然後，該工具將數據輸出到默認目錄中的多個 CSV 文件中。

CISA 警告說，開源工具不是入侵檢測系統的替代品，既不全面也不詳盡，旨在將更大的可用調查模塊和遙測模塊縮小到特定於最近對聯合身份源和應用程序。

該工具是免費使用的，可以在 GitHub 上找到 点击這裡.

通過 視窗俱樂部