CISA 发布基于 PowerShell 工具来检测 Azure / Microsoft 365 中的恶意活动

网络安全和基础结构安全局（CISA）发布了一种工具，用于检测Azure / Microsoft 365环境中的潜在恶意活动。

网络安全和基础设施安全局（CISA）的云取证团队已经发布了基于PowerShell的工具，名为Sparrow，这可以帮助管理员检测 Azure/Microsoft 365 环境的异常和潜在的恶意活动。

开发该工具是为了支持事件响应者并调查基于身份和身份验证的攻击。

“CISA创建了一个免费工具，用于检测威胁Azure / Microsoft O365环境中的用户和应用程序的异常和潜在的恶意活动。” 阅读CISA发布的帖子。“该工具旨在供事件响应者使用，并且仅关注于最近在多个部门中基于身份和身份验证的攻击所特有的活动。”

CISA建议用户和管理员访问此GitHub页面，以获取更多信息和检测对策。

Sparrow.ps1脚本检查并在分析计算机上安装了必需的PowerShell模块，然后在MSAzure / M365中检查统一审核日志中是否存在某些危害指标（IoC），列出Azure AD域，并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。

该工具将数据输出到放置在默认目录中的多个CSV文件中。

几天前，CrowdStrike在Microsoft通知其利用受攻击凭据进行的失败攻击后发布了免费的Azure安全工具。CrowdStrike专家决定创建自己的工具，因为他们在使用Azure的管理工具来枚举分配给其租户中的第三方经销商和合作伙伴的特权时遇到困难。

该CrowdStrike报告工具天青（CRT）工具可以由管理员用来分析他们的微软的Azure环境和审核分配给第三方合作伙伴和代理商的权限。