Cybersecurity and Infrastructure Security Agency (CISA) telah merilis dasbor berbasis Splunk pendamping yang membantu meninjau aktivitas pasca-kompromi di lingkungan Microsoft Azure Active Directory (AD), Office 365 (O365), dan Microsoft 365 (M365).
Alat baru CISA, dijuluki Aviary, membantu tim keamanan memvisualisasikan dan menganalisis keluaran data yang dihasilkan menggunakan Sparrow, alat berbasis PowerShell sumber terbuka untuk mendeteksi aplikasi dan akun yang berpotensi disusupi di Azure dan Microsoft 365.
Sparrow diciptakan untuk membantu defender memburu aktivitas ancaman setelah serangan rantai pasokan SolarWinds.
Aviary dapat membantu meninjau log PowerShell yang diekspor Sparrow, termasuk menganalisis mailbox sign-in PowerShell untuk memeriksa apakah proses masuk adalah tindakan yang sah.
Ini juga dapat membantu menyelidiki penggunaan PowerShell untuk pengguna dengan PowerShell di lingkungan dan memeriksa domain Azure AD penyewa terdaftar Sparrow untuk melihat apakah mereka telah dimodifikasi.
CISA mendorong defender jaringan yang ingin menggunakan Aviary untuk analisis output Sparrow yang lebih lugas untuk meninjau peringatan AA21-008A tentang mendeteksi aktivitas berbahaya pasca-kompromi di lingkungan Microsoft Cloud.
Selengkapnya: Bleeping Computer
