Azure / Microsoft 365 L’outil de détection des activités malveillantes a été publié par CISA
L’outil basé sur PowerShell permet de détecter les applications et les comptes potentiellement compromis dans les environnements Azure / Microsoft 365 qui ont été publiés par la Cyber-security and Infrastructure Security Agency (CISA). Microsoft révèle comment les informations d’identification et les jetons d’accès volés sont activement utilisés par les acteurs de la menace pour cibler les clients Azure.
CISA a créé un outil gratuit pour détecter les activités inhabituelles et potentiellement malveillantes qui guettent les utilisateurs et les applications dans l’environnement Azure / Microsoft O365. L’outil est prévu pour une utilisation par les intervenants d’événements et il est à peine attentif aux actions communes aux attaques actuelles basées sur l’identité et la confirmation observées dans plusieurs domaines.
Fonctionnement de l’outil CISA:
CISA est un outil basé sur PowerShell qui a été inventé par l’équipe de Cloud Forensics de CISA et nommé Sparrow peut être utilisé pour restreindre des ensembles plus importants de modules d’enquête. Sparrow vérifie le journal d’audit unifié Azure / M365 pour les indicateurs de compromission (IOSC). Dans la liste des domaines Azure AD et vérifie les principaux de service Azure et leur autorisation d’API Microsoft Graph pour découvrir une activité potentiellement malveillante.
CrowdStrike a publié un outil de sécurité Azure gratuit:
Cyber Security secure crowdStrike a publié un outil de détection après avoir enquêté sur un piratage échoué qui a reçu un wanring de Microsoft. Compte revendeur Microsoft Azure ayant tenté de lire l’e-mail de l’entreprise à l’aide d’autorisations Azure compromises.
Après analyse des environnements internes et de production suite à la violation SolarWinds. CrowdStrike a également déclaré la semaine dernière qu’il n’avait trouvé aucune preuve d’être coincé dans l’attaque de la chaîne d’approvisionnement.
Dans la deuxième alerte d’Investigaton Microsofts qui est survenue alors que Crowdstrike recherchait des IOC associés aux pirates de SolarWinds dans leur environnement, Crowd Strike a également constaté que les outils d’administration d’Azure étaient particulièrement difficiles à utiliser.
Environnements Azure et obtenez une vue d’ensemble plus simple des honneurs attribués aux revendeurs et partenaires tiers. Crowd Strike a publié l’outil gratuit de reporting CrowdStrike (CRT).