CISA 发布检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具

近日，网络安全和基础设施安全局（CISA）的云安全小组发布了检测 Azure/Microsoft 365 中恶意活动的 PowerShell 工具。

CISA发帖声明：“ CISA创建了一个用于检测 Azure/Microsoft 365 中恶意活动的免费工具，供相关事件响应者使用，且仅关注最近基于身份验证的网络攻击活动。”用户和管理员可访问此GitHub页面，以获取更多信息和检测对策。

Sparrow.ps1脚本检查并在计算机上安装必需的PowerShell模块，在MSAzure / M365中审核日志中是否存在某些IoC，列出Azure AD域并检查Azure服务主体及其Microsoft Graph API权限以识别潜在的恶意活动。该工具将数据输出放置在默认目录中的多个CSV文件中。

基于使用Azure管理工具审核第三方经销商和合作伙伴的权限时存在困难的情况，CrowdStrike安全专家创建了自己的工具。因此管理员可以使用此工具分析微软Azure环境和审核分配给第三方合作伙伴及代理商的权限。

消息来源：Security Affairs，封面来自网络，译者：江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.c