CISA lança ferramenta gratuita para detectar atividades maliciosas em ambientes de nuvem da Microsoft

0 0

Os defensores da rede que procuram atividades maliciosas em seus ambientes de nuvem Microsoft Azure, Azure Active Directory (AAD) e Microsoft 365 (M365) têm uma nova solução gratuita à sua disposição: Untitled Goose Tool.

Lançado pela Cybersecurity and Infrastructure Security Agency (CISA), é uma ferramenta de código aberto que permite aos usuários exportar e revisar logs, alertas, configurações, artefatos de nuvem e muito mais.

Os recursos da ferramenta

Como uma agência encarregada de – entre outras coisas – ajudar organizações com sede nos EUA no governo e no setor privado a se protegerem contra ciberataques, a CISA lança regularmente serviços e ferramentas de código aberto gratuitos para uso dos defensores.

“A ferramenta Untitled Goose oferece novos métodos de autenticação e coleta de dados para os defensores da rede usarem enquanto interrogam e analisam seus serviços em nuvem da Microsoft”, revela a CISA.

A ferramenta permite aos usuários:

• Exporte e revise os logs de login e auditoria do AAD, log de auditoria unificado M365 (UAL), logs de atividades do Azure, alertas do Microsoft Defender para IoT e dados do Microsoft Defender for Endpoint (MDE) para atividades suspeitas
• Consulte, exporte e investigue as configurações do AAD, M365 e Azure
• Extraia artefatos de nuvem dos ambientes AAD, Azure e M365 da Microsoft sem realizar análises adicionais
• Execute a delimitação de tempo do UAL
• Extraia dados dentro desses limites de tempo
• Colete e revise dados usando recursos de limite de tempo semelhantes para dados MDE

A ferramenta não pode mudar nada no ambiente de nuvem – ela pode apenas localizar e fornecer informações. A rapidez com que isso acontece depende do tamanho do ambiente de nuvem, da quantidade de atividade e da chamada específica definida no arquivo de configuração.

Usando a ferramenta

A ferramenta pode ser instalada em macOS, Linux e Windows e é compatível com os ambientes Azure, Azure AD e M365. Ele precisa do Python 3.7, 3.8 ou 3.9 para ser executado.

A saída da ferramenta, entregue no formato JSON, pode ser alimentada em uma ferramenta SIEM, navegador da web, editor de texto ou banco de dados para revisar e analisar as informações coletadas.

“Os usuários podem executar o Untitled Goose Tool uma vez, como um instantâneo no tempo ou rotineiramente. Para determinados tipos de toras, a ferramenta será retomada a partir da última vez em que a ferramenta foi executada”, explicou a CISA .

FONTE: HELPNET SECURITY