La Cybersecurity and Infrastructure Security Agency (CISA) a publié un nouvel outil basé sur PowerShell qui permettra aux administrateurs de détecter plus facilement les applications et les comptes compromis dans les environnements Azure et Microsoft 365. La sortie de l'outil intervient après que Microsoft a révélé comment les cybercriminels utilisent des informations d'identification volées et accéder aux jetons pour cibler les clients Azure dans un article de blog récent, ainsi que dans un article de blog publié précédemment. ce mois. Un examen attentif des deux articles fournira aux administrateurs Azure les connaissances dont ils ont besoin pour détecter un comportement anormal chez leurs locataires. CISA a fourni des informations supplémentaires sur son nouvel outil basé sur PowerShell, qui est disponible en téléchargement sur GitHub, dans une notification sur son site, qui se lit comme suit : "CISA a créé un outil gratuit pour détecter les activités inhabituelles et potentiellement malveillantes qui menacent les utilisateurs et les applications dans un environnement Azure / Microsoft O365. L'outil est conçu pour être utilisé par les intervenants en cas d'incident et se concentre étroitement sur les activités endémiques des récentes attaques basées sur l'identité et l'authentification observées dans plusieurs secteurs. " Le nouvel outil basé sur PowerShell de CISA a été créé par l'équipe Cloud Forensics de l'agence et nommé Sparrow. L'outil lui-même peut être utilisé pour restreindre de grands ensembles de modules d'enquête et de télémétrie " à ceux spécifiques aux attaques " contre des sources et des applications d'identité fédérées. Sparrow peut vérifier le journal d'audit unifié Azure et Microsoft 365 pour les indicateurs de compromission (IoC), énumérer les domaines Azure AD et vérifier les principaux de service Azure et leurs autorisations des API Microsoft Graph pour découvrir une activité malveillante potentielle. Cependant, CISA n'est pas le seul à publier un nouvel outil de sécurité Azure, tout comme la société de cybersécurité CrowdStrike alors qu'elle cherchait à savoir si ses systèmes étaient affectés par le piratage de SolarWinds, Microsoft a déclaré à la société qu'un compte revendeur Azure essayait de lire ses e-mails d'entreprise en utilisant des informations d'identification Azure compromises. Pour aider les administrateurs à analyser plus facilement leurs environnements Azure et à mieux comprendre les privilèges attribués aux partenaires et revendeurs tiers, CrowdStrike a publié son outil de rapport gratuit CrowdStrike pour Azure (CRT). Via BleepingComputer