Microsoft Azure, Azure Active Directory (AAD) ve Microsoft 365 (M365) bulut ortamlarında kötü amaçlı etkinlik arayan ağ savunucularının emrinde yeni ve ücretsiz bir çözüm var: Untitled Goose Tool.
Cybersecurity and Infrastructure Security Agency (CISA) tarafından piyasaya sürülen, kullanıcıların günlükleri, uyarıları, yapılandırmaları, bulut yapılarını ve daha fazlasını dışa aktarmasına ve incelemesine olanak tanıyan açık kaynaklı bir araçtır.
Aracın yetenekleri
Diğer görevlerinin yanı sıra ABD merkezli hükümet ve özel sektör kuruluşlarına kendilerini siber saldırganlara karşı korumalarında yardımcı olmakla görevli bir kurum olarak CISA, savunucuların kullanması için düzenli olarak ücretsiz açık kaynak hizmetleri ve araçları yayınlar.
CISA, “Untitled Goose Tool, ağ savunucularının Microsoft bulut hizmetlerini sorgulayıp analiz ederken kullanmaları için yeni kimlik doğrulama ve veri toplama yöntemleri sunuyor” diyor.
Araç, kullanıcıların şunları yapmasına olanak tanır:
- Şüpheli etkinlik için AAD oturum açma ve denetim günlüklerini, M365 birleşik denetim günlüğünü (UAL), Azure etkinlik günlüklerini, IoT için Microsoft Defender uyarılarını ve Microsoft Defender for Endpoint (MDE) verilerini dışa aktarın ve inceleyin
- AAD, M365 ve Azure yapılandırmalarını sorgulayın, dışa aktarın ve araştırın
- Ek analiz gerçekleştirmeden Microsoft’un AAD, Azure ve M365 ortamlarından bulut yapılarını ayıklayın
- UAL’nin zaman sınırlamasını gerçekleştirin
- Bu zaman sınırları içindeki verileri ayıklayın
- MDE verileri için benzer zaman sınırlaması özelliklerini kullanarak verileri toplayın ve gözden geçirin
Araç, bulut ortamında hiçbir şeyi değiştiremez; yalnızca bilgileri bulup iletebilir. Bunun ne kadar hızlı yapılacağı, bulut ortamının boyutuna, etkinlik miktarına ve yapılandırma dosyasındaki belirli çağrı kümesine bağlıdır.
aracı kullanma
Araç, macOS, Linux ve Windows üzerine kurulabilir ve Azure, Azure AD ve M365 ortamlarıyla uyumludur. Çalıştırmak için Python 3.7, 3.8 veya 3.9’a ihtiyacı var.
Aracın JSON formatında teslim edilen çıktısı, toplanan bilgileri incelemek ve analiz etmek için bir SIEM aracına, web tarayıcısına, metin düzenleyiciye veya veritabanına beslenebilir.
“Kullanıcılar Untitled Goose Tool’u bir kez, anlık görüntü olarak veya rutin olarak çalıştırabilir. Belirli günlük türleri için araç, aracın en son çalıştırıldığı zamandan itibaren devam edecek,” diye açıkladı CISA.