Outil gratuit de détection des anomalies de CISA pour Azure / M365

  • FrançaisFrançais


  • La Cybersecurity and Infrastructure Security Agency (CISA) a lancé un outil de détection pour identifier toute activité inhabituelle ou malveillante dans un environnement Azure / Microsoft O365. L’agence a déclaré l’outil de détection gratuit, surnommé Moineau, est créé en réponse aux récentes attaques basées sur l’identité et l’authentification ciblant les utilisateurs Azure.

    Comment fonctionne Sparrow?

    Sparrow est un outil basé sur PowerShell créé par l’équipe Cloud Forensics de CISA pour aider les administrateurs Azure à trouver des comptes et des applications Azure compromis. Sparrow détecte les intrusions et anomalies inhabituelles en vérifiant le journal d’audit unifié Azure / M365 pour les indicateurs de compromission (IoC), répertorie les domaines Azure AD et vérifie les principaux de service Azure et leurs autorisations d’API Microsoft Graph.

    «L’outil est destiné à être utilisé par les intervenants en cas d’incident et se concentre sur l’étendue étroite de l’activité des utilisateurs et des applications endémique aux attaques d’identité et d’authentification récemment observées dans plusieurs secteurs. Il n’est ni exhaustif ni exhaustif des données disponibles et vise à restreindre un plus grand nombre de modules d’investigation et de télémétrie disponibles à ceux spécifiques aux attaques récentes contre des sources et applications d’identité fédérées », a déclaré CISA.

    Une fois installé, l’outil de détection Sparrow analyse la machine en fonction de plusieurs paramètres. Celles-ci comprendre:

    • Recherche toutes les modifications apportées au domaine et aux paramètres de fédération sur le domaine d’un client.
    • Recherche toute modification ou modification des informations d’identification d’une application.
    • Recherche toute modification ou modification des informations d’identification d’un principal de service.
    • Recherche les attributions de rôle d’application aux principaux de service, aux utilisateurs et aux groupes.
    • Recherche les consentements OAuth ou d’application.
    • Recherche une anomalie d’utilisation du jeton SAML (valeur d’authentification utilisateur de 16457) dans les journaux d’audit unifiés.
    • Recherche les connexions PowerShell dans les boîtes aux lettres.
    • Recherche l’AppID bien connu pour Exchange Online PowerShell.
    • Recherche l’AppID bien connu pour PowerShell.
    • Recherche l’AppID pour voir s’il a accédé aux éléments de courrier.
    • Recherche l’AppID pour voir s’il a accédé aux éléments Sharepoint ou OneDrive.
    • Recherche la chaîne de l’agent utilisateur WinRM dans l’utilisateur connecté et les opérations de connexion de l’utilisateur ont échoué.

    Exigences d’installation:

    Aucune étape supplémentaire n’est requise pour installer Sparrow. Cependant, CISA a déclaré: «La fonction, Check-PSModules, vérifiera si les trois modules PowerShell requis sont installés sur le système et si ce n’est pas le cas, elle utilisera le référentiel PowerShell par défaut sur le système pour atteindre et installer. Si les modules sont présents mais pas importés, le script importera également les modules manquants afin qu’ils soient prêts à être utilisés. »

    Les modules PowerShell requis incluent:

    • CloudConnect
    • AzureAD
    • MSOnline

    CISA a vivement recommandé à tous les administrateurs Azure et Microsoft O365 d’apprendre à détecter les activités suspectes à l’aide de l’outil de détection Sparrow.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *