La Cybersecurity and Infrastructure Security Agency (CISA) a publié un nouvel outil basé sur PowerShell qui permettra aux administrateurs de détecter plus facilement les applications et les comptes compromis dans les environnements Azure et Microsoft 365.
La publication de l’outil intervient après que Microsoft a révélé comment les cybercriminels utilisent des informations d’identification et des jetons d’accès volés pour cibler les clients Azure dans un récent article de blog ainsi que dans un précédent article de blog publié plus tôt ce mois-ci. Un examen attentif des deux publications fournira aux administrateurs Azure les connaissances dont ils ont besoin pour détecter les comportements anormaux chez leurs locataires.
CISA a fourni des informations supplémentaires sur son nouvel outil basé sur PowerShell, qui est disponible en téléchargement sur GitHub, dans une notification sur son site, en disant:
«CISA a créé un outil gratuit pour détecter les activités inhabituelles et potentiellement malveillantes qui menacent les utilisateurs et les applications dans un environnement Azure / Microsoft O365. L’outil est destiné à être utilisé par les intervenants en cas d’incident et se concentre étroitement sur les activités endémiques des récentes attaques basées sur l’identité et l’authentification observées dans plusieurs secteurs. »
Le nouvel outil basé sur PowerShell de CISA a été créé par l’équipe Cloud Forensics de l’agence et a reçu le nom de Sparrow. L’outil lui-même peut être utilisé pour restreindre de vastes ensembles de modules d’enquête et de télémétrie «à ceux spécifiques aux attaques récentes contre des sources d’identité fédérées et des applications».
Sparrow est capable de vérifier le journal d’audit unifié Azure et Microsoft 365 pour les indicateurs de compromis (IoC), répertorier les domaines Azure AD et vérifier les principaux de service Azure et leurs autorisations d’API Microsoft Graph afin de découvrir une activité malveillante potentielle.
Cependant, CISA n’est pas le seul à avoir publié un nouvel outil de sécurité Azure comme la société de cybersécurité CrowdStrike l’a également fait. Tout en recherchant si ses systèmes ont été affectés par le piratage SolarWinds, Microsoft a déclaré à l’entreprise qu’un compte de revendeur Azure essayait de lire ses e-mails d’entreprise en utilisant des informations d’identification Azure compromises.
Afin d’aider les administrateurs à analyser plus facilement leurs environnements Azure et à mieux comprendre les privilèges attribués aux revendeurs et partenaires tiers, CrowdStrike a publié son outil gratuit de création de rapports CrowdStrike pour Azure (CRT).
Via BleepingComputer
