La Agencia de Ciberseguridad y Protección de Infraestructuras de Estados Unidos (CISA) ha presentado una herramienta de respuesta a incidentes de código abierto, que facilita la detección de indicios de actividad malintencionada en entornos en la nube de Microsoft.

Denominada “Untitled Goose Tool” y desarrollada en conjunto con Sandia, un laboratorio nacional del Departamento de Energía de Estados Unidos, este programa basado en Python es capaz de extraer información de telemetría de Azure Active Directory, Microsoft Azure y entornos de Microsoft 365.

“La Untitled Goose Tool es una herramienta de búsqueda y respuesta ante incidentes sólida y adaptable que incorpora métodos innovadores de autenticación y recolección de datos para llevar a cabo investigaciones exhaustivas en los entornos de Azure Active Directory (AzureAD), Azure y M365 de un cliente”, señala CISA.

“La Untitled Goose Tool obtiene datos de telemetría adicionales de Microsoft Defender para Endpoint (MDE) y Defender para Internet de las Cosas (IoT) (D4IoT)”.

Gracias a la herramienta de análisis e interrogación multiplataforma de la nube de Microsoft de CISA, los expertos en seguridad y administradores de redes pueden:

  • Exportar y analizar registros de inicio de sesión y auditoría de AAD, registro de auditoría unificado de M365 (UAL), registros de actividad de Azure, alertas de Microsoft Defender para IoT (internet de las cosas) y datos de Microsoft Defender para Endpoint (MDE) en busca de actividades sospechosas.
  • Consultar, exportar e investigar configuraciones de AAD, M365 y Azure. Extraer elementos en la nube de los entornos de AAD, Azure y M365 de Microsoft sin llevar a cabo análisis adicionales.
  • Establecer límites temporales en el UAL.
  • Extraer datos dentro de esos límites de tiempo establecidos.
  • Recopilar y revisar datos empleando capacidades de límites temporales similares para datos MDE.

A comienzos de este mes, CISA lanzó una herramienta de código abierto llamada “Decider” con el objetivo de ayudar a los defensores a generar informes de mapeo MITRE ATT&CK y ajustar su postura de seguridad en función de las tácticas y técnicas empleadas por los adversarios.

https://derechodelared.com/microsoft-cisa-herramienta/