CISA, Microsoft bulut ortamlarını kötü amaçlı faaliyetlere karşı korumaya yönelik süregelen çabalarının bir parçası olarak kısa süre önce “Untitled Goose Tool” adlı açık kaynaklı bir olay müdahale aracını tanıttı.
Bu Python tabanlı yardımcı araç, Amerika Birleşik Devletleri Enerji Bakanlığı’nın ulusal laboratuvarı olan Sandia ile işbirliği içinde geliştirilmiştir. Aşağıdakiler, bu aracın yardımıyla telemetri bilgilerinin boşaltılabileceği ortamlardır: –
- Azure Aktif Dizini
- Microsoft Azure
- Microsoft 365
- Uç Nokta için Microsoft Defender (MDE)
- Nesnelerin İnterneti için Defender (IoT) (D4IoT)
Güvenlik uzmanları ve ağ yöneticileri, CISA’nın platformlar arası Microsoft bulut analizi ve sorgulama aracını şu amaçlarla kullanabilir:-
- Aşağıdakilerin derinlemesine analizi ve dışa aktarımı:
- AAD oturum açma ve denetim günlükleri
- M365 birleştirilmiş denetim günlüğü
- Azure etkinlik günlükleri
- IoT uyarıları için Microsoft Defender
- Şüpheli etkinlik için Uç Nokta verileri için Microsoft Defender
- AAD, M365 ve Azure yapılandırmalarını sorgular, dışarı aktarmalar ve inceleme yoluyla analiz edin.
- Microsoft’un AAD, Azure ve M365 ortamlarından ek analiz gerçekleştirmeden bulut yapılarının çıkarılmasını sağlar.
- UAL’nin zaman sınırlaması gerçekleştirilebilir.
- Bu zaman sınırlarına uygun olarak veri çıkarımını sağlar.
- MDE verileri için, verileri toplamak, incelemek ve karşılaştırmak için benzer zaman sınırlayıcı yetenekler kullanılabilir.
Önkoşullar
Untitled Goose Tool’u Python ile çalıştırmak için aşağıdaki sürümler gereklidir:-
- Python 3.7
- Python 3.8
- Python 3.9
Ayrıca, Untitled Goose Tool’un sanal bir ortamda çalıştırılması önerilir.
Son gelişmeler, CISA’nın kuruluşların ortaya çıkan siber tehditlere karşı alabileceği güvenlik önlemlerini iyileştirmek için birkaç hafifletici adım attığını gördü.
Sonuç olarak, bu ayın başlarında CISA tarafından ‘Decider’ adlı yeni bir açık kaynak aracı başlatıldı. Bu araç esas olarak defans oyuncularına yöneliktir ve onlara MITRE ATT&CK eşleme raporları oluşturmalarında yardımcı olur.
Decider, Ocak ayında standarda bağlı kalmanın önemini vurgulayan bir “en iyi uygulamalar” kılavuzunun yayınlanmasının ardından başlatıldı.
Duyurunun bir parçası olarak, 2023’ün başında kritik altyapı kuruluşlarını, sistemlerinin internete maruz kalma nedeniyle fidye yazılımı saldırılarına açık olduğu konusunda uyardı.
Duyuru, ABD’nin çekirdek altyapısını fidye yazılımı gibi siber saldırılardan korumaya odaklanmak için Ağustos 2021’de başlatılan yeni bir ortaklıktan kaynaklandı. Aynı zamanda bu işbirliğine JCDC (Joint Cyber Defense Collaborative) adını verdiler.
yükleme
Depoyu klonlayarak ve ardından pip ile kurulum yaparak paketi kurmak oldukça kolaydır:
git clone https://github.com/cisagov/untitledgoosetool.git
cd untitledgoosetool
python3 -m pip install .
Haziran 2021’de, Siber Güvenlik Değerlendirme Aracını (CSET) güncellemek için Fidye Yazılımlarına Hazırlık Değerlendirmesi (RRA) başlatıldı. Bu modül, kuruluşların fidye yazılımlarını ve diğer siber saldırıları önleme ve bunlardan kurtulma hazırlıklarını değerlendirmelerine yardımcı olmayı amaçlamaktadır.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Kapsam:
- CISA, Federal Ajanslardan Win32k Yetki Yükseltme Kusurunu Düzeltmesini İstedi
- CISA, NSA ve FBI, BlackMatter Fidye Yazılımı İçin TTP’lerle İlgili Danışma Belgesini Yayınladı
- NSA ve CISA, Uzaktan Erişim VPN’ini Seçmek ve Güçlendirmek İçin Yayınlanmış Hile Sayfası
- CISA, Kuruluşların Tehditlere Karşı Korunmasına ve Güvenlik Açığı Değerlendirmesine Yardımcı Olacak Yeni Bir Araç Yayınladı
- NSA ve CISA, Kubernetes Kümelerini Siber Saldırılardan Korumak İçin Bir Güvenlik Rehberi Yayınladı