CISA已发布Azure / Microsoft 365恶意活动检测工具

基于PowerShell的工具可帮助检测由网络安全和基础结构安全机构(CISA)发布的Azure / Microsoft 365环境中可能受到威胁的应用程序和帐户。 Microsoft揭示了威胁参与者如何主动使用被盗的凭据和访问令牌来针对Azure客户。

CISA创建了一个免费工具,用于检测在Azure / Microsoft O365环境中潜伏用户和应用程序的异常和潜在的恶意活动。该工具计划供事件响应者使用,它几乎不关注当前在几个领域中基于身份和确认的攻击所共有的操作。

使用CISA工具:

CISA是CISA的Cloud Forensics团队发明的一种基于powerShell的工具,名为Sparrow,可用于缩小大范围的查询模块的范围。 Sparrow检查统一的Azure / M365审核日志中是否存在危害指标(IOSC)。在列表“ Azure AD域”中,并检查Azure服务主体及其Microsoft Graph API权限以发现潜在的恶意活动。

CrowdStrike发布了免费的Azure安全工具:

网络安全安全人群Strike在调查了一次失败的黑客攻击后发布了一种检测工具,该攻击受到了Microsoft的大力支持。 Microsoft Azure代理商帐户尝试使用受到破坏的Azure授权来读取公司的电子邮件。

在分析了SolarWinds漏洞之后的内部和生产环境之后。 CrowdStrike上周还表示,没有发现任何被卡在供应链攻击中的证据。

在Crowdstrike正在寻找与其环境中与SolarWinds黑客相关的IOC的同时,微软又发出了第二次警报。CrowdStrike还发现Azure的管理工具使用起来特别困难。

Azure环境,并更轻松地概述分配给第三方经销商和合作伙伴的荣誉。 CrowdStrike发布了免费的CrowdStrike报告工具(CRT)。