Nueva herramienta CISA detecta actividad de hackers en servicios en la nube de Microsoft

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha lanzado una nueva herramienta de respuesta a incidentes de código abierto que ayuda a detectar signos de actividad maliciosa en entornos de nube de Microsoft.

Conocida como la “Herramienta Goose sin título” y desarrollada en conjunto con Sandia, un Laboratorio Nacional del Departamento de Energía de EE. UU., esta utilidad basada en Python puede volcar información de telemetría de los entornos Azure Active Directory, Microsoft Azure y Microsoft 365. .

“Untitled Goose Tool es una herramienta robusta y flexible de respuesta y búsqueda de incidentes que agrega nuevos métodos de autenticación y recopilación de datos para realizar una investigación exhaustiva de Azure Active Directory (AzureAD), Azure y M365 d ‘un cliente’, CISA dicho.

“Untitled Goose Tool reúne telemetría adicional de Microsoft Defender para Endpoint (MDE) y Defender para Internet de las cosas (IoT) (D4IoT)”.

Con la ayuda de CISA herramienta multiplataforma de consulta y análisis en la nube de MicrosoftLos expertos en seguridad y los administradores de red pueden:

• Exporte y examine los registros de AAD y los registros de auditoría, el registro de auditoría unificado (UAL) de M365, los registros de actividad de Azure, las alertas de Microsoft Defender para IoT (Internet de las cosas) y los datos de Microsoft Defender para puntos finales (MDE) en busca de actividades sospechosas.
• Consulte, exporte e investigue las configuraciones de AAD, M365 y Azure.
• Extraiga artefactos en la nube de los entornos AAD, Azure y M365 de Microsoft sin realizar análisis adicionales.
• Realizar la limitación horaria de la UAL.
• Extraiga los datos dentro de estos marcos de tiempo.
• Recopile y examine datos utilizando funciones de limitación de tiempo similares a las de los datos MDE.

A principios de este mes, CISA lanzó una herramienta de código abierto llamada “Decider” para ayudar a los defensores a generar informes de mapeo MITRE ATT&CK para ajustar su postura de seguridad en función de las tácticas y técnicas de los adversarios.

Decide fue liberado después de publicar un guía de “buenas prácticas” en el mapeo de MITRE ATT&CK en enero, enfatizando la importancia de usar el estándar.

También anunció que, a partir de enero de 2023, notificará a las entidades de infraestructura crítica sobre los sistemas expuestos a Internet vulnerables a los ataques de ransomware.

“Usando esta capacidad de defensa cibernética proactiva, CISA ha notificado a más de 60 entidades sobre intrusiones de ransomware en etapa inicial desde enero de 2023, incluidas organizaciones de infraestructura crítica en los sectores de energía, atención médica y servicios públicos, agua y aguas residuales, y la comunidad educativa. ” CISA reveló Hoy.

Esto sigue al lanzamiento de una nueva asociación en agosto de 2021 para proteger la infraestructura crítica de los Estados Unidos del ransomware y otras amenazas cibernéticas, conocida como Joint Cyber ​​​​Defense Collaborative (JCDC).

La agencia de ciberseguridad lanzó previamente en junio de 2021 un nuevo módulo para su Herramienta de evaluación de ciberseguridad (CSET) llamado Ransomware Readiness Assessment (RRA) para ayudar a las organizaciones a evaluar su preparación para prevenir y recuperarse de ataques de malware ransomware.

Dos meses después, publicó una guía para ayudar a las organizaciones gubernamentales y del sector privado en riesgo a prevenir violaciones de datos resultantes de ataques de ransomware.