Detectar contas comprometidas do Microsoft 365 está prestes a se tornar muito mais fácil
A Cybersecurity and Infrastructure Security Agency (CISA) lançou uma nova ferramenta baseada em PowerShell que tornará mais fácil para os administradores detectar aplicativos e contas comprometidos em ambientes Azure e Microsoft 365.
O lançamento da ferramenta vem depois que a Microsoft revelou como os cibercriminosos estão usando credenciais roubadas e tokens de acesso para clientes do Azure em um postagem recente do blog bem como em um postagem anterior do blog publicado no início deste mês. A revisão cuidadosa de ambas as postagens fornecerá aos administradores do Azure o conhecimento de que precisam para detectar comportamento anômalo em seus locatários.
A CISA forneceu mais informações sobre sua nova ferramenta baseada em PowerShell, que está disponível para download em GitHub, em um notificação em seu site, dizendo:
“A CISA criou uma ferramenta gratuita para detectar atividades incomuns e potencialmente maliciosas que ameaçam usuários e aplicativos em um ambiente Azure / Microsoft O365. A ferramenta destina-se ao uso por respondentes de incidentes e é estritamente focada em atividades endêmicas para os recentes ataques baseados em identidade e autenticação vistos em vários setores. ”
A nova ferramenta baseada em PowerShell da CISA foi criada pela equipe Cloud Forensics da agência e recebeu o nome de Sparrow. A própria ferramenta pode ser usada para restringir grandes conjuntos de módulos de investigação e telemetria “àqueles específicos para ataques recentes a fontes e aplicativos de identidade federada”.
Sparrow é capaz de verificar o log de auditoria unificado do Azure e do Microsoft 365 em busca de indicadores de comprometimento (IoCs), listar os domínios do Azure AD e verificar os principais de serviço do Azure e suas permissões de API do Microsoft Graph para descobrir atividades maliciosas em potencial.
No entanto, a CISA não é a única que lançou uma nova ferramenta de segurança do Azure, assim como a empresa de segurança cibernética CrowdStrike. Ao investigar se seus sistemas foram ou não afetados pelo hack SolarWinds, a Microsoft disse à empresa que uma conta de revendedor do Azure estava tentando ler seus e-mails corporativos usando credenciais comprometidas do Azure.
Para ajudar os administradores a analisar mais facilmente seus ambientes do Azure e entender melhor os privilégios atribuídos a revendedores e parceiros terceirizados, a CrowdStrike lançou seu software gratuito Ferramenta de Relatórios CrowdStrike para Azure (CRT).
Através da BleepingComputer