Verwenden Sie dieses von CISA entwickelte Python-Dienstprogramm, um Hacking in Microsoft-Cloud-Umgebungen zu erkennen
Die Entdeckung von Sicherheitslücken in Microsofts Cloud-Umgebungen ist nicht gerade ungewöhnlich ( genauso wie Cloud-Plattformen, die von anderen Anbietern entwickelt wurden ). In der Vergangenheit haben wir gesehen, wie kritische Schwachstellen in verschiedenen Azure-Diensten gepatcht wurden, darunter Azure Container Instances (ACI) , Azure Automation und Cosmos DB . Jetzt hat die US Cybersecurity and Infrastructure Agency (CISA) die Verwendung eines Python-basierten Dienstprogramms empfohlen , um Schwachstellen speziell in Microsoft-Cloud-Umgebungen zu erkennen.
Das fragliche Dienstprogramm trägt den Namen „Untitled Goose Tool“ und wird in Zusammenarbeit mit den Sandia National Laboratories des US-Energieministeriums entwickelt. Untitled Goose Tool kann nützlich sein, um Anzeichen von Hacking in verschiedenen Microsoft-Cloud-Umgebungen zu erkennen, darunter Azure, Microsoft 365 und Azure Active Directory (AAD).
Es nutzt verschiedene ausgeklügelte Jagdabfragen und kann zusammen mit anderen Erkennungs- und Analysetools von Microsoft verwendet werden, um Anzeichen von Ausnutzung zu identifizieren. Seine Fähigkeiten sind unten aufgeführt:
- Exportieren und überprüfen Sie AAD-Anmelde- und Überwachungsprotokolle, M365 Unified Audit Log (UAL), Azure-Aktivitätsprotokolle, Microsoft Defender for IoT (Internet of Things)-Warnungen und Microsoft Defender for Endpoint (MDE)-Daten auf verdächtige Aktivitäten.
- Abfragen, Exportieren und Untersuchen von AAD-, M365- und Azure-Konfigurationen.
- Extrahieren Sie Cloud-Artefakte aus Microsofts AAD-, Azure- und M365-Umgebungen, ohne zusätzliche Analysen durchzuführen.
- Führen Sie die Zeitbegrenzung des UAL durch.
- Extrahieren Sie Daten innerhalb dieser Zeitgrenzen.
- Sammeln und überprüfen Sie Daten mit ähnlichen Zeitbegrenzungsfunktionen für MDE-Daten.
Untitled Goose Tool kann hier aus dem GitHub-Repository heruntergeladen werden . Neben der Bereitstellung detaillierter Installations- und Verwendungsanweisungen hat CISA auch empfohlen, das Dienstprogramm in virtuellen Umgebungen auszuführen.
Quelle: CISA über BleepingComputer
Schreibe einen Kommentar