Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

CISA выпустило инструмент для обнаружения вредоносов в Azure и Microsoft 365

30/12/20

CISA2Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США выпустило инструмент на основе PowerShell, который поможет ИБ-специалистам обнаруживать необычную и потенциально вредоносную активность в приложениях и учетных записях в средах Azure и Microsoft 365.

Выпуск нового инструмента связан с тем, что украденные учетные данные и токены доступа активно используются злоумышленниками для атак на пользователей Azure.

Инструмент на основе PowerShell, созданный командой CISA Cloud Forensics и получивший название Sparrow, может использоваться для сужения больших наборов модулей расследования и телеметрии «до тех, которые относятся к недавним атакам на источники федеративной идентификации и приложения».

Sparrow проверяет единый журнал аудита Azure/M365 на наличие индикаторов компрометации, перечисляет домены Azure AD и проверяет службы Azure и их разрешения Microsoft Graph API, чтобы обнаружить потенциальную вредоносную активность.

Список проверок, которые он выполняет после запуска на анализирующей машине, включает поиск изменений в настройках домена и федерации в домене пользователя, модификаций или изменений учетных данных, назначений ролей приложения для служб, пользователей и групп, любых разрешений OAuth, аномалий использования токена SAML (UserAuthenticationValue of 16457) в единых журналах аудита, логинов PowerShell в почтовых ящиках, известного AppID для Exchange Online PowerShell, AppID с доступом к почтовым сообщениям, AppID с доступом к элементам Sharepoint или OneDrive и пр.

Подробнее: https://www.securitylab.ru/news/515151.php

Темы:КиберзащитаWindowsОтрасльCISA
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...