Azure / Microsoft365の悪意のあるアクティビティ検出ツールがCISAによってリリースされました

PowerShellベースのツールは、Cyber​​-security and Infrastructure Security Agency(CISA)によってリリースされたAzure / Microsoft365環境で潜在的に侵害されたアプリケーションとアカウントを検出するのに役立ちます。マイクロソフトは、盗まれた資格情報とアクセストークンが、Azureの顧客を標的にするために脅威アクターによってどのように積極的に使用されているかを明らかにしています。

CISAは、Azure / MicrosoftO365環境のユーザーとアプリケーションに潜む異常で潜在的に悪意のあるアクティビティを検出するための無料のツールを作成しました。このツールはイベントレスポンダーによる使用が計画されており、いくつかの領域で見られる現在のIDおよび確認ベースの攻撃に共通するアクションにはほとんど注意を払っていません。

CISAのツールの動作:

CISAは、CISAのクラウドフォレンジックチームによって発明され、Sparrowという名前のPowerShellベースのツールであり、照会モジュールのより大きなセットを絞り込むために使用できます。 Sparrowは、統合されたAzure / M365監査ログで侵入の痕跡(IOSC)をチェックします。リストでAzureADドメインを確認し、AzureサービスプリンシパルとそのMicrosoft Graph APIアクセス許可を確認して、悪意のある可能性のあるアクティビティを検出します。

CrowdStrikeは無料のAzureセキュリティツールをリリースしました:

サイバーセキュリティの安全なcrowdStrikeは、マイクロソフトからの警告を受けたハッキン​​グの失敗を調査した後、検出ツールをリリースしました。侵害されたAzure認証を使用して会社の電子メールを読み込もうとしたMicrosoftAzureリセラーアカウント。

SolarWinds違反後の内部環境と本番環境を分析した後。 CrowdStrikeはまた、先週、サプライチェーン攻撃で立ち往生している証拠は見つからなかったと述べた。

Crowdstrikeが環境内のSolarWindsハッカーに関連するIOCを探しているときに発生した2回目のInvestigatonMicrosoftアラートで、Crowd Strikeは、Azureの管理ツールの使用が特に難しいことも発見しました。

Azure環境を使用して、サードパーティの再販業者とパートナーに割り当てられている栄誉の概要を簡単に把握できます。 Crowd Strikeは、無料のCrowdStrikeレポートツール(CRT)をリリースしました。