美国网络安全暨基础设施安全局(CISA)周三(3/23)通过GitHub发布了Untitled Goose Tool,该工具专门用来侦测微软Microsoft Azure、Azure Active Directory(AAD)与Microsoft 365(M365)环境中的潜在恶意活动。
Untitled Goose Tool为一安全事件追捕与回应工具,它能导出及检查AAD登录与审核记录、M365统一审核记录、Azure活动记录、Microsoft Defender for IoT警报,以及Microsoft Defender for Endpoint的资料,分析这些记录与资料是否涉及可疑行为。
也可查询、导出及调查AAD、M365与Azure配置,或是无需额外分析就能自这些环境汲取云计算构件,设置统一审核记录的时间与汲取特定期间的资料等。
Untitled Goose Tool支持Python 3.7、3.8及3.9,CISA建议用户于虚拟环境中使用该工具。