TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
CISA ได้แจกเครื่องมือสำหรับองค์กรซึ่งสามารถช่วยตรวจสอบกิจกรรมแปลกๆที่เกิดขึ้นกับ Azure AD, Office 365 และ Microsoft 365 ที่อาจถูกแฮ็กเกอร์แฝงตัวอยู่
ก่อนหน้านี้จากเหตุการณ์ SolarWinds (ติดตามข่าวเก่าจาก TechTalkthai ได้ที่ https://www.techtalkthai.com/microsoft-discloses-about-sophisticate-operation-in-solarwinds-incident/ และ https://www.techtalkthai.com/fireeye-reports-solarwinds-attacker-operation-and-releases-tool-for-detect-indication-of-compromise/) ทำให้ CISA ได้แจกเครื่องมือที่ชื่อ Sparrow หรือ PowerShell ที่ช่วยตรวจจับแอปพลิเคชันที่อาจถูกแทรกแซง รวมไปถึงบัญชี Azure และ Microsoft 365
ล่าสุด CISA ได้ออก Splunk-based Dashboard ภายใต้ชื่อ Aviary ที่รับข้อมูล PowerShell Log จาก Sparrow มารีวิวดูเพื่อหาพฤติกรรมที่ผิดปกติ โดยหวังช่วยให้ผู้ดูแลเห็นภาพการใช้งาน PowerShell และตรวจสอบ AD Domain ว่าถูกแก้ไขเปลี่ยนแปลงอย่างไร สำหรับผู้สนใจศึกษาเพิ่มเติมได้ที่ https://github.com/cisagov/Sparrow/releases/tag/v1.0
