Black Hat Asia 2021

CISA ออกเครื่องมือช่วยตรวจสอบกิจกรรมต้องสงสัยใน Microsoft 365

CISA ได้แจกเครื่องมือสำหรับองค์กรซึ่งสามารถช่วยตรวจสอบกิจกรรมแปลกๆที่เกิดขึ้นกับ Azure AD, Office 365 และ Microsoft 365 ที่อาจถูกแฮ็กเกอร์แฝงตัวอยู่

credit : wikipedia

ก่อนหน้านี้จากเหตุการณ์ SolarWinds (ติดตามข่าวเก่าจาก TechTalkthai ได้ที่ https://www.techtalkthai.com/microsoft-discloses-about-sophisticate-operation-in-solarwinds-incident/ และ https://www.techtalkthai.com/fireeye-reports-solarwinds-attacker-operation-and-releases-tool-for-detect-indication-of-compromise/) ทำให้ CISA ได้แจกเครื่องมือที่ชื่อ Sparrow หรือ PowerShell ที่ช่วยตรวจจับแอปพลิเคชันที่อาจถูกแทรกแซง รวมไปถึงบัญชี Azure และ Microsoft 365 

ล่าสุด CISA ได้ออก Splunk-based Dashboard ภายใต้ชื่อ Aviary ที่รับข้อมูล PowerShell Log จาก Sparrow มารีวิวดูเพื่อหาพฤติกรรมที่ผิดปกติ โดยหวังช่วยให้ผู้ดูแลเห็นภาพการใช้งาน PowerShell และตรวจสอบ AD Domain ว่าถูกแก้ไขเปลี่ยนแปลงอย่างไร สำหรับผู้สนใจศึกษาเพิ่มเติมได้ที่ https://github.com/cisagov/Sparrow/releases/tag/v1.0 

ที่มา : https://www.bleepingcomputer.com/news/security/cisa-releases-tool-to-review-microsoft-365-post-compromise-activity/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Adobe แพตช์อุดช่องโหว่ Zero-day ใน Adobe Reader แนะผู้ใช้งานเร่งอัปเดต

Adobe ได้ประกาศอุดช่องโหว่ประจำเดือนพฤษภาคม แต่มีช่องโหว่หนึ่งที่ถูกโจมตีจริงแล้วในผลิตภัณฑ์ Adobe Reader

Microsoft defender ATP สามารถตรวจสอบค่าคอนฟิคของ macOS และ Linux ได้แล้ว

Microsoft ได้ประกาศทดสอบฟีเจอร์บน Defender ATP ที่สามารถประเมินการตั้งค่าของ macOS และ Linux