CISA がリリースするツールが危殆化された Microsoft 365 を救う

CISA releases tool to review Microsoft 365 post-compromise activity

2021/04/08 BleepingComputer — CISA(Cybersecurity and Infrastructure Security Agency)は、危殆化された Microsoft Azure Active Directory および、Office 365、Microsoft 365 の状況を調査するための、Splunk ベースのダッシュボード・シリーズをリリースした。

CISA が提供する Aviary は、Azure や Microsoft 365 上の侵害されたアプリケーションやアカウントを検出する、オープンソース PowerShell ベースの Sparrow を用いて生成されたデータを、セキュリティチームが視覚化/分析するのを支援する。SolarWinds のサプライチェーン攻撃の後に、脅威側の活動を防御側が追い詰めるために、この Sparrow が開発されている。

そして Aviary は、Sparrow がエクスポートした PowerShell ログのレビューを支援することが可能であり、また、PowerShell メールボックスのサインイン情報を分析して、そのログインの正当性チェックにも対応する。さらに、対応となる環境内での PowerShell 使用状況の調査や、Sparrow がリストアップしたテナントの Azure AD ドメイン変更の有無も調べることが可能だ。

この記事によると、CISA が3月に、Windows 上で SolarWinds ハッカーの足跡を検出するための、Pythonベースのフォレンジック・ツール CHIRP をリリースしたとのことです。また、サイバー・セキュリティ企業の CrowdStrike は、CrowdStrike Reporting Tool for Azure という名の検知ツールをリリースしています。この CrowdStrike の CRT ツールは、管理者が Azure 環境を分析し、パートナーやサードパーティのリセラーに対して、どのような権限が割り当てられているのかを、把握するのに役立ちます。また、FireEye は、Azure AD Investigator という名の無料ツールを公開しています。

%d bloggers like this: