Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft een nieuwe tool uitgebracht die organisaties moet helpen bij het onderzoeken van gecompromitteerde accounts en applicaties in Azure/Microsoft Office 365-omgevingen.

In januari publiceerde de overheidsinstantie op GitHub een detectietool genaamd Sparrow waarmee organisaties gecompromitteerde Microsoft Azure Active Directory (AD)-, Office 365 (O365)-,en Microsoft 365-omgevingen kunnen detecteren. Zo wordt er naar het PowerShell-gebruik in de omgeving gekeken en of er aanpassingen aan de tenants in de Azure AD-domeinen zijn doorgevoerd. De tool was ontwikkeld om activiteiten van de SolarWinds-aanvallers te detecteren.

Het CISA komt nu met een nieuwe tool genaamd Aviary, een op Splunk-gebaseerd dashboard dat helpt met het visualiseren en analyseren van de data die van Sparrow afkomstig is, zoals logbestanden. Dit kan organisaties weer helpen bij het onderzoeken van mogelijk gecompromitteerde accounts en omgevingen.

Source