ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Microsoft bulut ortamlarındaki kötü amaçlı etkinlik belirtilerini tespit etmeye yardımcı olan yeni bir açık kaynaklı olay müdahale aracı yayınladı.
“Adsız Kaz Aracı” olarak bilinen ve ABD Enerji Bakanlığı ulusal laboratuvarı Sandia ile işbirliği içinde geliştirilen bu Python tabanlı yardımcı program, Azure Active Directory, Microsoft Azure ve Microsoft 365 ortamlarından telemetri bilgilerinin dökümünü yapabilir.
CISA, “Untitled Goose Tool, bir müşterinin Azure Active Directory (AzureAD), Azure ve M365 ortamlarında tam bir araştırma yürütmek için yeni kimlik doğrulama ve veri toplama yöntemleri ekleyen sağlam ve esnek bir arama ve olay yanıt aracıdır” diyor.
“Untitled Goose Tool, Microsoft Defender for Endpoint (MDE) ve Defender for Things of Internet (IoT) (D4IoT)’den ek telemetri toplar.”
CISA’nın platformlar arası Microsoft bulut sorgulama ve analiz aracının yardımıyla güvenlik uzmanları ve ağ yöneticileri şunları yapabilir:
- Şüpheli etkinlik için AAD oturum açma ve denetim günlüklerini, M365 birleşik denetim günlüğünü (UAL), Azure etkinlik günlüklerini, IoT için Microsoft Defender (nesnelerin interneti) uyarılarını ve Microsoft Defender for Endpoint (MDE) verilerini dışa aktarın ve inceleyin.
- AAD, M365 ve Azure yapılandırmalarını sorgulayın, dışa aktarın ve araştırın.
- Ek analiz gerçekleştirmeden Microsoft’un AAD, Azure ve M365 ortamlarından bulut yapılarını ayıklayın.
- UAL’nin zaman sınırlamasını gerçekleştirin.
- Bu zaman sınırları içindeki verileri ayıklayın.
- MDE verileri için benzer zaman sınırlayıcı yetenekleri kullanarak verileri toplayın ve gözden geçirin.
Bu ayın başlarında CISA, savunucuların güvenlik duruşlarını rakiplerin taktik ve tekniklerine göre ayarlamak için MITRE ATT&CK haritalama raporları oluşturmasına yardımcı olmak için ‘Decider’ adlı açık kaynaklı bir araç yayınladı.
Decider, Ocak ayında MITRE ATT&CK eşleme hakkında standardı kullanmanın önemini vurgulayan bir “en iyi uygulamalar” kılavuzu yayınladıktan sonra yayınlandı.
Ayrıca, Ocak 2023’ten itibaren kritik altyapı varlıklarını fidye yazılımı saldırılarına karşı savunmasız olan İnternet’e açık sistemler konusunda uyaracağını duyurdu.
“Bu proaktif siber savunma yeteneğini kullanan CISA, Ocak 2023’ten bu yana Enerji, Sağlık ve Halk Sağlığı, Su ve Atık Su Sistemleri sektörlerindeki kritik altyapı kuruluşlarının yanı sıra eğitim topluluğu da dahil olmak üzere 60’tan fazla kuruluşa erken aşamadaki fidye yazılımı saldırılarını bildirdi. ,” CISA bugün açıkladı.
Bu, ABD’nin kritik altyapısını fidye yazılımlarından ve diğer siber tehditlerden korumak için Ağustos 2021’de Ortak Siber Savunma İşbirliği (JCDC) olarak bilinen yeni bir ortaklığın başlatılmasını takip etti.
Siber güvenlik ajansı daha önce Haziran 2021’de, kuruluşların fidye yazılımı saldırılarını önleme ve kurtarmaya hazır olma durumlarını değerlendirmelerine yardımcı olmak için Siber Güvenlik Değerlendirme Aracı (CSET) için Fidye Yazılıma Hazırlık Değerlendirmesi (RRA) olarak bilinen yeni bir modül yayınlamıştı.
İki ay sonra, risk altındaki özel sektör ve devlet kuruluşlarının fidye yazılımı saldırılarından kaynaklanan veri ihlallerini önlemesine yardımcı olacak bir kılavuz yayınladı.