CISA ออกเครื่องมือช่วยตรวจสอบกิจกรรมต้องสงสัยใน Microsoft 365

CISA ได้แจกเครื่องมือสำหรับองค์กรซึ่งสามารถช่วยตรวจสอบกิจกรรมแปลกๆที่เกิดขึ้นกับ Azure AD, Office 365 และ Microsoft 365 ที่อาจถูกแฮ็กเกอร์แฝงตัวอยู่

credit : wikipedia

ก่อนหน้านี้จากเหตุการณ์ SolarWinds (ติดตามข่าวเก่าจาก TechTalkthai ได้ที่ https://www.techtalkthai.com/microsoft-discloses-about-sophisticate-operation-in-solarwinds-incident/ และ https://www.techtalkthai.com/fireeye-reports-solarwinds-attacker-operation-and-releases-tool-for-detect-indication-of-compromise/) ทำให้ CISA ได้แจกเครื่องมือที่ชื่อ Sparrow หรือ PowerShell ที่ช่วยตรวจจับแอปพลิเคชันที่อาจถูกแทรกแซง รวมไปถึงบัญชี Azure และ Microsoft 365 

ล่าสุด CISA ได้ออก Splunk-based Dashboard ภายใต้ชื่อ Aviary ที่รับข้อมูล PowerShell Log จาก Sparrow มารีวิวดูเพื่อหาพฤติกรรมที่ผิดปกติ โดยหวังช่วยให้ผู้ดูแลเห็นภาพการใช้งาน PowerShell และตรวจสอบ AD Domain ว่าถูกแก้ไขเปลี่ยนแปลงอย่างไร สำหรับผู้สนใจศึกษาเพิ่มเติมได้ที่ https://github.com/cisagov/Sparrow/releases/tag/v1.0 

ที่มา : https://www.bleepingcomputer.com/news/security/cisa-releases-tool-to-review-microsoft-365-post-compromise-activity/

from:https://www.techtalkthai.com/cisa-new-tools-reviews-microsoft-365-suspicious-activities/