CISA 發布基于 PowerShell 工具來檢測 Azure / Microsoft 365 中的惡意活動

網絡安全和基礎結構安全局（CISA）發布了一種工具，用于檢測Azure / Microsoft 365環境中的潛在惡意活動。

網絡安全和基礎設施安全局（CISA）的云取證團隊已經發布了基于PowerShell的工具，名為Sparrow，這可以幫助管理員檢測 Azure/Microsoft 365 環境的異常和潛在的惡意活動。

開發該工具是為了支持事件響應者并調查基于身份和身份驗證的攻擊。

“CISA創建了一個免費工具，用于檢測威脅Azure / Microsoft O365環境中的用戶和應用程序的異常和潛在的惡意活動。” 閱讀CISA發布的帖子。“該工具旨在供事件響應者使用，并且僅關注于最近在多個部門中基于身份和身份驗證的攻擊所特有的活動。”

CISA建議用戶和管理員訪問此GitHub頁面，以獲取更多信息和檢測對策。

Sparrow.ps1腳本檢查并在分析計算機上安裝了必需的PowerShell模塊，然后在MSAzure / M365中檢查統一審核日志中是否存在某些危害指標（IoC），列出Azure AD域，并檢查Azure服務主體及其Microsoft Graph API權限以識別潛在的惡意活動。

該工具將數據輸出到放置在默認目錄中的多個CSV文件中。

幾天前，CrowdStrike在Microsoft通知其利用受攻擊憑據進行的失敗攻擊后發布了免費的Azure安全工具。CrowdStrike專家決定創建自己的工具，因為他們在使用Azure的管理工具來枚舉分配給其租戶中的第三方經銷商和合作伙伴的特權時遇到困難。

該CrowdStrike報告工具天青（CRT）工具可以由管理員用來分析他們的微軟的Azure環境和審核分配給第三方合作伙伴和代理商的權限。