CISA が開発したこの Python ユーティリティを使用して、Microsoft クラウド環境でのハッキングを検出します

Microsoft のクラウド環境での脆弱性の発見は、まったく珍しいことではありません (他のベンダーが開発したクラウド プラットフォームと同様)。これまで、Azure Container Instances (ACI)、Azure Automation、Cosmos DB など、さまざまな Azure サービスで重大な脆弱性にパッチが適用されているのを見てきました。現在、米国のサイバーセキュリティおよびインフラストラクチャ エージェンシー (CISA) は、Python ベースのユーティリティを使用して、特に Microsoft クラウド環境の脆弱性を検出することを推奨しています。

問題のユーティリティは「Untitled Goose Tool」と呼ばれ、米国エネルギー省のサンディア国立研究所と共同で開発されました。Untitled Goose Tool は、Azure、Microsoft 365、Azure Active Directory (AAD) など、さまざまな Microsoft クラウド環境でハッキングの兆候を判断するのに役立ちます。

さまざまな高度なハンティング クエリを活用し、他のマイクロソフトの検出および分析ツールと組み合わせて使用​​して、悪用の兆候を特定できます。その機能を以下に示します。

• AAD サインインと監査ログ、M365 統合監査ログ (UAL)、Azure アクティビティ ログ、Microsoft Defender for IoT (モノのインターネット) アラート、Microsoft Defender for Endpoint (MDE) データをエクスポートして確認し、疑わしいアクティビティを確認します。
• AAD、M365、および Azure 構成のクエリ、エクスポート、および調査を行います。
• 追加の分析を実行することなく、Microsoft の AAD、Azure、および M365 環境からクラウド アーティファクトを抽出します。
• UAL の時間境界を実行します。
• これらの時間範囲内でデータを抽出します。
• MDE データの同様の時間境界機能を使用して、データを収集および確認します。

無題の Goose Tool は、こちらの GitHub リポジトリからダウンロードできます。詳細なインストールと使用手順を提供するとともに、CISA は、このユーティリティを仮想環境で実行することも推奨しています。

出典: BleepingComputer経由のCISA