0
0
A Untitled Goose Tool é a ferramenta mais recente da Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos para ajudar as equipes de segurança corporativa a responder a ataques.
Desenvolvido em conjunto com o Sandia National Labs, o Untitled Goose Tool “oferece novos métodos de autenticação e coleta de dados para os defensores da rede usarem enquanto interrogam e analisam seus serviços de nuvem da Microsoft”, disse a CISA em seu anúncio, que listou especificamente o Microsoft Azure, o Microsoft365 e Azure Active Directory. Com essa ferramenta, os defensores podem executar uma investigação completa, interrogando e coletando logs de login e auditoria do Azure Active Directory, log de auditoria unificado do Microsoft 365, logs de atividades do Azure, alertas do Microsoft Defender para IoT (Internet das Coisas) e Microsoft Defender para Endpoint dados para atividades suspeitas, disse a CISA em seu informativo Untitled Goose Tool. Os defensores também podem consultar, exportar e investigar as configurações do Azure Active Directory, Microsoft 365 e Azure.
A ferramenta de busca e resposta a incidentes foi projetada para ajudar as equipes de resposta a incidentes a exportar artefatos de nuvem após um incidente para ambientes que não estão ingerindo logs na plataforma Security Information and Events Management (SIEM) da organização, disse a CISA na página do repositório Untitled Goose GitHub . Os defensores podem ingerir os resultados JSON em um SIEM, navegador da Web, editor de texto ou banco de dados existente para análise adicional.
O Untitled Goose Tools foi anunciado no mesmo dia que a Pre-Ransomware Notification Initiative, que visa alertar as organizações sobre ataques de ransomware com antecedência suficiente para que as organizações possam bloquear a tentativa de roubar ou criptografar dados. No início de março, a CISA anunciou a ferramenta Decider , que ajudará as organizações a mapear o comportamento adversário para a estrutura MITRE ATT&CK para encontrar lacunas em suas defesas, bem como o Ransomware Vulnerability Warning Pilot , para alertar entidades de infraestrutura crítica sobre falhas em seus sistemas.
FONTE: DARK READING