?Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США выпустило инструмент на основе PowerShell, который поможет ИБ-специалистам обнаруживать необычную и потенциально вредоносную активность в приложениях и учетных записях в средах Azure и Microsoft 365.
Выпуск нового инструмента связан с тем, что украденные учетные данные и токены доступа активно используются злоумышленниками для атак на пользователей Azure.
Инструмент на основе PowerShell, созданный командой CISA Cloud Forensics и получивший название Sparrow, может использоваться для сужения больших наборов модулей расследования и телеметрии «до тех, которые относятся к недавним атакам на источники федеративной идентификации и приложения».
Sparrow проверяет единый журнал аудита Azure/M365 на наличие индикаторов компрометации, перечисляет домены Azure AD и проверяет службы Azure и их разрешения Microsoft Graph API, чтобы обнаружить потенциальную вредоносную активность.
Список проверок, которые он выполняет после запуска на анализирующей машине, включает поиск изменений в настройках домена и федерации в домене пользователя, модификаций или изменений учетных данных, назначений ролей приложения для служб, пользователей и групп, любых разрешений OAuth, аномалий использования токена SAML (UserAuthenticationValue of 16457) в единых журналах аудита, логинов PowerShell в почтовых ящиках, известного AppID для Exchange Online PowerShell, AppID с доступом к почтовым сообщениям, AppID с доступом к элементам Sharepoint или OneDrive и пр.
Выпуск нового инструмента связан с тем, что украденные учетные данные и токены доступа активно используются злоумышленниками для атак на пользователей Azure.
Инструмент на основе PowerShell, созданный командой CISA Cloud Forensics и получивший название Sparrow, может использоваться для сужения больших наборов модулей расследования и телеметрии «до тех, которые относятся к недавним атакам на источники федеративной идентификации и приложения».
Sparrow проверяет единый журнал аудита Azure/M365 на наличие индикаторов компрометации, перечисляет домены Azure AD и проверяет службы Azure и их разрешения Microsoft Graph API, чтобы обнаружить потенциальную вредоносную активность.
Список проверок, которые он выполняет после запуска на анализирующей машине, включает поиск изменений в настройках домена и федерации в домене пользователя, модификаций или изменений учетных данных, назначений ролей приложения для служб, пользователей и групп, любых разрешений OAuth, аномалий использования токена SAML (UserAuthenticationValue of 16457) в единых журналах аудита, логинов PowerShell в почтовых ящиках, известного AppID для Exchange Online PowerShell, AppID с доступом к почтовым сообщениям, AppID с доступом к элементам Sharepoint или OneDrive и пр.
![fPNNGvUkEwTWeuMSi9kiF45gPscG0EdJeif8Iae7Ub-p4XEd7TQR-rLSlRu3Lm5Ej1G4HDa7fZnUqKPnPaiJh2lpxq9KUXS2yYmxPPynm0XF3YevfVpwVUa2HoYVbzrB63DqKOEnrWRugIiDdp_Q48lCvysTo88rQi9g14EGNyS0WlI1IEBV-L8qMp9-P-PrBmwfX2yhob_OGppK8gFdtA8UQ0RmJHAALLwmwlOJ7aAGDZNTMwDFKaULHYDkqL0GkSXuTpLtBi49L-jYubDLY3mwpt_9J5aqWj-YvKx9Y9bIpNMt0YGHLsiDrQvbOihUg_qpC28vANFuvXLC0elrJw.jpg](https://cdn4.telesco.pe/file/fPNNGvUkEwTWeuMSi9kiF45gPscG0EdJeif8Iae7Ub-p4XEd7TQR-rLSlRu3Lm5Ej1G4HDa7fZnUqKPnPaiJh2lpxq9KUXS2yYmxPPynm0XF3YevfVpwVUa2HoYVbzrB63DqKOEnrWRugIiDdp_Q48lCvysTo88rQi9g14EGNyS0WlI1IEBV-L8qMp9-P-PrBmwfX2yhob_OGppK8gFdtA8UQ0RmJHAALLwmwlOJ7aAGDZNTMwDFKaULHYDkqL0GkSXuTpLtBi49L-jYubDLY3mwpt_9J5aqWj-YvKx9Y9bIpNMt0YGHLsiDrQvbOihUg_qpC28vANFuvXLC0elrJw.jpg)