Hace unos días que la Agencia de Ciberseguridad y Protección de Infraestructuras de Estados Unidos (CISA) ha decidido lanzar una nueva herramienta de respuesta a incidentes de código abierto para detectar indicios de actividad malintencionada en entornos en la nube de Microsoft.
Según pudo averiguar “Mantenimiento Informático”, la aplicación, denominada «Untitled Goose Tool«, programada en Python, fue desarrollada en conjunto con Sandia, un laboratorio nacional del Departamento de Energía de Estados Unidos.
Lo que se conoce al respecto nos marca que esta herramienta es capaz de extraer información de telemetría de Azure Active Directory, Microsoft Azure y entornos de Microsoft 365.
Asimismo, expertos de CISA, sostienen que “Untitled Goose Tool” es una herramienta de búsqueda y respuesta ante incidentes, sólida y adaptable que incorpora métodos innovadores de autenticación y recolección de datos para llevar a cabo investigaciones exhaustivas en los entornos de Azure Active Directory (AzureAD), Azure y M365 de un cliente.
Por otro lado, también se encarga de obtener datos de telemetría adicionales de Microsoft Defender para Endpoint (MDE) y Defender para Internet de las Cosas (D4IoT).
Con la herramienta de análisis e interrogación multiplataforma de la nube de Microsoft de CISA, los expertos en seguridad y administradores de redes pueden detectar y responder de manera más efectiva a posibles amenazas en la nube de Microsoft.
Por consiguiente, su capacidad de exportar y analizar registros de inicio de sesión y auditoría de AAD, registro de auditoría unificado de M365 (UAL), registros de actividad de Azure, alertas de Microsoft Defender para IoT (Internet de las cosas) y datos de Microsoft Defender para Endpoint (MDE), se han vuelto esenciales para detectar actividades sospechosas en los entornos de la nube de Microsoft.
Paralelamente, mediante esta herramienta los expertos en seguridad pueden consultar, exportar e investigar configuraciones de AAD, M365 y Azure para extraer elementos en la nube de los entornos de Microsoft sin la necesidad de realizar análisis adicionales.
Asimismo, es posible establecer límites temporales en el UAL y extraer datos dentro de esos límites de tiempo establecidos. La recopilación y revisión de datos se puede realizar empleando capacidades de límites temporales similares para datos MDE.
«CISA presenta otra solución de detección de actividades ilegales en la nube de Microsoft»
Por otro lado, desde “Mantenimiento Informático”, no queremos dejar de destacar que CISA sigue comprometida en el área de ciberseguridad, y que está trabajando por la seguridad en línea de los usuarios y empresas de EEUU y el resto del mundo.
Para ello, lanzó otra herramienta de código abierto llamada «Decider», la cual tiene como objetivo principal, poder ayuda a los defensores a generar informes de mapeo MITRE ATT&CK y ajustar su postura de seguridad en función de las tácticas y técnicas empleadas por los adversarios.
Esta herramienta ofrece una forma más eficiente de abordar amenazas en la nube de Microsoft y fortalecer la seguridad de las organizaciones.
(S.M.C).