Azure / Microsoft 365 Lo strumento di rilevamento delle attività dannose dida CISA
Lo strumento basato su PowerShell aiuta a rilevare applicazioni e account potenzialmente compromessi in ambienti Azure / Microsoft 365 rilasciati dalla Cyber-security and Infrastructure security Agency (CISA). Microsoft rivela come le credenziali rubate e i token di accesso vengono utilizzati attivamente dagli autori delle minacce per colpire i clienti di Azure.
CISA ha creato uno strumento gratuito per rilevare attività insolite e potenzialmente dannose che nascondono utenti e applicazioni nell’ambiente Azure / Microsoft O365. Lo strumento è progettato per essere utilizzato dai risponditori di eventi ed è poco attento alle azioni comuni agli attuali attacchi basati sull’identità e sulla conferma osservati in diverse aree.
Funzionamento dello strumento CISA:
CISA è uno strumento basato su PowerShell, inventato dal team di Cloud Forensics di CISA e denominato Sparrow, che può essere utilizzato per restringere set più ampi di moduli di richiesta. Sparrow controlla il registro di controllo unificato di Azure / M365 per gli indicatori di compromissione (IOSC). Nell’elenco i domini di Azure AD e controlla le entità servizio di Azure e l’autorizzazione dell’API Microsoft Graph per rilevare attività potenzialmente dannose.
CrowdStrike ha rilasciato lo strumento di sicurezza di Azure gratuito:
La sicurezza informatica secure crowdStrike ha rilasciato uno strumento di rilevamento dopo aver indagato su un hack fallito che ha ricevuto un calante da Microsoft. Account di rivenditori Microsoft Azure che hanno tentato di leggere l’e-mail dell’azienda utilizzando autorizzazioni di Azure compromesse.
Dopo aver analizzato gli ambienti interni e di produzione a seguito della violazione di SolarWinds. CrowdStrike ha anche affermato di non aver trovato alcuna prova di essere bloccato nell’attacco alla catena di approvvigionamento.
Nel secondo avviso di Microsoft Investigatons che è arrivato mentre Crowdstrike stava cercando IOC associati agli hacker di SolarWinds nel loro ambiente, Crowd Strike ha anche scoperto che gli strumenti amministrativi di Azure erano particolarmente difficili da usare.
Ambienti Azure e ottieni una panoramica più semplice di quali riconoscimenti vengono assegnati a rivenditori e partner di terze parti. Crowd Strike ha rilasciato il CrowdStrike Reporting Tool (CRT) gratuito.