Инструмент «Untitled Goose»: новое оружие в борьбе против киберпреступников

Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) вчера, 23 марта, выпустило новый инструмент реагирования на киберинциденты, способный обнаруживать признаки вредоносной активности в облачных средах Microsoft.

Эта утилита, основанная на Python, известна как «Untitled Goose Tool». Инструмент разработан в сотрудничестве с Sandia, национальной лабораторией Министерства энергетики США, и может выгружать данные телеметрии из сред Azure Active Directory, Microsoft Azure и Microsoft 365.

«Инструмент Untitled Goose — это надежный и гибкий инструмент поиска и реагирования на киберинциденты, который добавляет новые методы проверки подлинности и сбора данных для проведения полного расследования в средах Azure Active Directory (AzureAD), Azure и Microsoft 365», — говорится в описании инструмента CISA на GitHub.

С помощью нового кроссплатформенного облачного инструмента эксперты по безопасности и сетевые администраторы смогут:

• Экспортировать и просматривать журналы входа и аудита AAD, единый журнал аудита Microsoft 365 (UAL), журналы действий Azure, оповещения Microsoft Defender для IoT, а также данные Microsoft Defender о конечных точках, связанных с подозрительными действиями.
• Запрашивать, экспортировать и исследовать конфигурации AAD, Microsoft 365 и Azure.
• Извлекать облачные артефакты из сред Microsoft AAD, Azure и Microsoft 365 без выполнения дополнительной аналитики.
• Устанавливать временные рамки в журнале доступа пользователей (UAL).
• Извлекать данные UAL в пределах этих временных рамок.
• Собирать и просматривать данные, используя аналогичные возможности ограничения времени для данных MDE.

Ранее в этом месяце CISA выпустила инструмент с открытым исходным кодом под названием «Decider», который помогает специалистам безопасности создавать отчёты MITRE ATT&CK для настройки своих систем безопасности на основе тактик и методов злоумышленников.

Decider был представлен после публикации в январе руководства по передовым методам сопоставления MITRE ATT&CK, в котором подчеркивается важность использования стандарта. CISA также объявила, что с этого января предупреждает объекты критической инфраструктуры о системах с открытым доступом из Интернета, уязвимых для атак программ-вымогателей.

«Используя эту возможность упреждающей киберзащиты, CISA уведомила более 60 организаций о вторжениях программ-вымогателей на ранней стадии, начиная с января 2023 года», — сообщила компания CISA.

Опираясь на статистику по Decider и прочим инструментам CISA, можно с уверенностью сказать, что представленный вчера инструмент Untitled Goose точно так же внесёт свою лепту в кибербезопасность организаций и существенно снизит уровень вредоносной активности в корпоративных сетях.