Af Eskil Sørensen, 12/04/21
Agenturet for cybersikkerhed og infrastruktur (CISA) har frigivet et ’Splunk-baseret’ dashboard, der hjælper med at gennemgå ’post compromise’-aktivitet i Microsoft Azure Active Directory (AD), Office 365 (O365) og Microsoft 365 (M365) miljøer. Det skriver Bleeping Computer.
CISAs nye værktøj hedder Aviary og har til formål at hjælpe sikkerhedsteams med at visualisere og analysere dataoutput genereret ved hjælp af Sparrow. Sparrow er et PowerShell-baseret open source-værktøj til detektering af potentielt kompromitterede applikationer og konti i Azure og Microsoft 365.
Sparrow oprindeligt blev skabt for at hjælpe brugere med at finde trusselaktivitet efter SolarWinds-angrebet. Aviary kan hjælpe med at gennemgå de PowerShell-logfiler, som Sparrow eksporterer, herunder analyse af PowerShell-postkasse-login for at kontrollere, om logins er legitime handlinger.
CISA opfordrer netværksfolk, der ønsker at bruge det nye visualiseringsværktøj, til at først at gennemgå den tidligere udsendte vejledning om Sparrow-værktøjet.