米国のサイバーセキュリティ & インフラストラクチャ セキュリティ エージェンシー (CISA) は、Microsoft クラウド環境での悪意のあるアクティビティの兆候を検出するのに役立つ、新しいオープン ソースのインシデント対応ツールをリリースしました。
「Untitled Goose Tool」として知られ、米国エネルギー省の国立研究所であるサンディアと共同で開発されたこの Python ベースのユーティリティは、Azure Active Directory、Microsoft Azure、および Microsoft 365 環境からテレメトリ情報をダンプできます。
「Untitled Goose Tool は、顧客の Azure Active Directory (AzureAD)、Azure、および M365 環境に対して完全な調査を実行するために、新しい認証およびデータ収集方法を追加する堅牢で柔軟なハントおよびインシデント対応ツールです」と CISA は述べています。
「Untitled Goose Tool は、Microsoft Defender for Endpoint (MDE) および Defender for Internet of Things (IoT) (D4IoT) から追加のテレメトリを収集します。」
セキュリティの専門家とネットワーク管理者は、CISA のクロスプラットフォームの Microsoft クラウド調査および分析ツールを利用して、次のことができます。
- AAD サインインと監査ログ、M365 統合監査ログ (UAL)、Azure アクティビティ ログ、Microsoft Defender for IoT (モノのインターネット) アラート、Microsoft Defender for Endpoint (MDE) データをエクスポートして確認し、疑わしいアクティビティを確認します。
- AAD、M365、および Azure 構成のクエリ、エクスポート、および調査を行います。
- 追加の分析を実行することなく、Microsoft の AAD、Azure、および M365 環境からクラウド アーティファクトを抽出します。
- UAL の時間境界を実行します。
- これらの時間範囲内でデータを抽出します。
- MDE データの同様の時間制限機能を使用して、データを収集および確認します。
今月初め、CISA は「Decider」と呼ばれるオープンソース ツールをリリースしました。これは、防御側が MITRE ATT&CK マッピング レポートを生成して、敵対者の戦術と手法に基づいてセキュリティ体制を調整するのに役立ちます。
Decider は、1 月に MITRE ATT&CK マッピングに関する「ベスト プラクティス」ガイドを公開した後にリリースされ、標準を使用することの重要性が強調されました。
また、2023 年 1 月から、ランサムウェア攻撃に対して脆弱なインターネットに公開されたシステムの重要なインフラストラクチャ エンティティに警告することも発表しました。
これは、2021 年 8 月に米国の重要なインフラストラクチャをランサムウェアやその他のサイバー脅威から保護するための新しいパートナーシップ ( Joint Cyber Defense Collaborative (JCDC) として知られる) の立ち上げに続くものです。
サイバーセキュリティ機関は、2021 年 6 月に、組織がランサムウェア攻撃を防止および回復するための準備状況を評価するのに役立つ、Ransomware Readiness Assessment (RRA) として知られる Cyber Security Evaluation Tool (CSET) の新しいモジュールをリリースしました。
その 2 か月後、リスクにさらされている民間部門や政府機関がランサムウェア攻撃によるデータ侵害を防ぐのに役立つガイダンスを公開しました。
Comments