Azure / Microsoft 365-Tool zur Erkennung bösartiger Aktivitäten wurde von CISA
PowerShell-basierte Tool hilft bei der Erkennung potenziell gefährdeter Anwendungen und Konten in Azure / Microsoft 365-Umgebungen, die von der Cyber-Security and Infrastructure Security Agency (CISA) veröffentlicht wurden. Microsoft zeigt, wie gestohlene Anmeldeinformationen und Zugriffstoken von Bedrohungsakteuren aktiv verwendet werden, um Azure-Kunden anzusprechen.
CISA hat ein kostenloses Tool zum Erkennen ungewöhnlicher und potenziell böswilliger Aktivitäten entwickelt, die Benutzer und Anwendungen in der Azure / Microsoft O365-Umgebung lauern. Das Tool ist für die Verwendung durch Event-Responder geplant und achtet kaum auf Aktionen, die den aktuellen identitäts- und bestätigungsbasierten Angriffen in mehreren Bereichen gemeinsam sind.
Funktionsweise des CISA-Tools:
CISA ist ein PowerShell-basiertes Tool, das vom Cloud Forensics-Team von CISA mit dem Namen Sparrow erfunden wurde und zum Eingrenzen größerer Gruppen von Anfragemodulen verwendet werden kann. Sparrow überprüft das einheitliche Azure / M365-Überwachungsprotokoll auf Kompromissindikatoren (IOSCs). In der Liste Azure AD-Domänen werden die Azure-Dienstprinzipien und ihre Microsoft Graph-API-Berechtigungen überprüft, um potenziell böswillige Aktivitäten zu erkennen.
CrowdStrike hat das kostenlose Azure-Sicherheitstool veröffentlicht:
Cyber Security Secure CrowdStrike hat ein Erkennungstool veröffentlicht, nachdem ein fehlgeschlagener Hack untersucht wurde, der von Microsoft nachgelassen hat. Microsoft Azure-Reseller-Konto, das versucht hat, die E-Mail des Unternehmens mit kompromittierten Azure-Berechtigungen zu lesen.
Nach der Analyse der internen und Produktionsumgebungen nach dem SolarWinds-Verstoß. CrowdStrike sagte auch letzte Woche, es habe keinen Beweis dafür gefunden, dass es im Angriff auf die Lieferkette stecken geblieben sei.
In der zweiten Investigaton Microsofts-Warnung, die einging, als Crowdstrike nach IOCs suchte, die mit den SolarWinds-Hackern in ihrer Umgebung verknüpft waren, stellte Crowd Strike außerdem fest, dass die Verwendung der Verwaltungstools von Azure besonders schwierig war.
Azure-Umgebungen und erhalten einen einfacheren Überblick darüber, welche Auszeichnungen Drittanbietern und Partnern zugewiesen werden. Crowd Strike hat das kostenlose CrowdStrike Reporting Tool (CRT) veröffentlicht.