A Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA lançou uma nova ferramenta para ajudar na detecção de possíveis vulnerabilidades nos ambientes Microsoft Azure e Microsoft 365.

Chamada de Aviary, a nova ferramenta é um painel que facilita a visualização e a análise da saída do Sparrow, a ferramenta de detecção de ataques lançada em dezembro de 2020.

Desenvolvido pela CISA para ajudar na detecção de atividades maliciosas relacionadas ao ataque do SolarWinds, o Sparrow também pode ser usado para procurar por atividades maliciosas no Microsoft Azure Active Directory (AD), ambientes do Microsoft Office 365 (M365) e Office 365 (O365).

O Sparrow foi projetado para ajudar na identificação de contas e aplicativos que podem ter sido comprometidos no ambiente da Azure/M365 de uma organização.

Com o Sparrow, o time de segurança pode procurar por autenticação de domínio ou modificações de federação, encontrar credenciais novas e modificadas em registros, detectar escalonamento de privilégios, detectar o consentimento OAuth e o consentimento de usuários para aplicativos, identificar logins anômalos de token SAML e verificar permissões de aplicação do Graph API para serviços principais e aplicativos do ambiente, entre outros.

A ferramenta agora está disponível no GitHub, com informações adicionais sobre como instalar o Aviary após executar o Sparrow, incluídas no anúncio de janeiro da CISA para a ferramenta de detecção, que foi atualizado esta semana com instruções sobre como usar o Aviary.

Fonte:

https://www.securityweek.com/cisa-releases-tool-detect-microsoft-365-compromise