El gobierno de EE. UU. ha creado una herramienta de código abierto para ayudar a los equipos de seguridad a detectar fallas en los servicios en la nube de Microsoft más fácilmente.
Creada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el laboratorio nacional del Departamento de Energía de EE. UU., Sandia, la «Herramienta de ganso sin título» funciona recopilando datos de telemetría de Azure Active Directory, Microsoft Azure y Microsoft 365.
«Untitled Goose Tool es una herramienta robusta y flexible de búsqueda y respuesta a incidentes que agrega nuevos métodos de autenticación y recopilación de datos para ejecutar una investigación completa en los entornos de Azure Active Directory (AzureAD), Azure y M365 de un cliente», dice CISA. «Untitled Goose Tool recopila telemetría adicional de Microsoft Defender para Endpoint (se abre en una pestaña nueva) (MDE) y Defender para Internet de las cosas (IoT) (D4IoT).»
Esfuerzos CISA
Hay varias cosas que puede hacer Untitled Goose Tool, incluida la exportación y revisión de registros de inicio de sesión y auditoría de Azure Active Directory, registros de auditoría unificados de Microsoft 365, registros de actividad de Azure, alertas de Microsoft Defender para IoT y datos de Microsoft. Defensor de Endpoint.
El conjunto completo de capacidades de la herramienta se puede encontrar en este enlace (se abre en una pestaña nueva).
Esta no es la primera herramienta de este tipo que CISA lanza, ya que a principios de este mes la organización publicó «Decider», otra herramienta de código abierto que ayuda a los equipos de TI a generar informes de mapeo de MITRE ATT&CK. Y antes de eso, la organización también publicó una guía de «mejores prácticas» sobre el mapeo MITRE.
Desde que los operadores de ransomware atacaron la infraestructura crítica del país varias veces, el gobierno de EE. UU. ha estado trabajando arduamente para tratar de defenderse de estos jugadores maliciosos. En 2023, CISA comenzó a advertir de manera proactiva a las organizaciones de infraestructura cuando tienen puntos finales expuestos a Internet que son vulnerables a ataques de ransomware.
«Usando esta capacidad de defensa cibernética proactiva, CISA ha notificado a más de 60 entidades sobre intrusiones de ransomware en etapa temprana desde enero de 2023, incluidas organizaciones de infraestructura crítica en los sectores de energía, atención médica y salud pública, agua y sistemas de aguas residuales, así como la comunidad educativa. ”, dijo la compañía.
Vía: BleepingComputer (se abre en una pestaña nueva)