Aviary & Sparrow:Azure/M365环境下的威胁检测利器
项目介绍
Aviary 是由美国网络安全和基础设施安全局(CISA)及其合作伙伴开发的一款全新仪表盘,旨在帮助用户可视化和分析 Sparrow 检测工具的输出结果。Sparrow 是一款用于检测 Azure/Microsoft O365 环境中可能被入侵的账户和应用程序的工具,由 CISA 在 2020 年 12 月发布,旨在支持针对 SolarWinds 事件后的威胁活动进行追踪。Aviary 作为一个基于 Splunk 的仪表盘,能够方便地分析 Sparrow 的数据输出。
Sparrow.ps1 则是由 CISA 的云取证团队开发的 PowerShell 脚本,专门用于检测 Azure/M365 环境中的潜在被入侵账户和应用程序。该工具主要面向事件响应人员,专注于近期在多个行业中常见的基于身份和认证的攻击活动。
项目技术分析
Sparrow.ps1 脚本通过检查和安装所需的 PowerShell 模块,检查 Azure/M365 中的统一审计日志,列出 Azure AD 域,并检查 Azure 服务主体及其 Microsoft Graph API 权限,以识别潜在的恶意活动。该工具将数据输出到多个 CSV 文件中,这些文件位于用户的默认主目录中的 ExportDir 文件夹中。
Aviary 则是一个基于 Splunk 的仪表盘,能够方便地分析 Sparrow 的数据输出,帮助用户快速识别和响应潜在的安全威胁。
项目及技术应用场景
Aviary 和 Sparrow 主要应用于以下场景:
- 企业安全监控:企业可以使用 Sparrow 和 Aviary 来监控其 Azure/M365 环境中的账户和应用程序活动,及时发现潜在的安全威胁。
- 事件响应:在发生安全事件时,事件响应团队可以使用 Sparrow 快速定位和分析潜在的被入侵账户和应用程序,加速响应过程。
- 合规性检查:企业可以使用 Sparrow 来检查其 Azure/M365 环境中的合规性,确保符合相关安全标准和法规要求。
项目特点
- 高效检测:Sparrow.ps1 专注于检测近期常见的基于身份和认证的攻击活动,能够快速定位潜在的安全威胁。
- 易于集成:Aviary 基于 Splunk,可以方便地集成到现有的安全监控和分析平台中,提供直观的可视化分析界面。
- 开源免费:该项目完全开源,用户可以自由使用、修改和分发,无需担心版权问题。
- 灵活部署:Sparrow.ps1 脚本无需额外安装步骤,只需满足权限要求即可运行,适合各种规模的组织使用。
通过 Aviary 和 Sparrow,用户可以更加高效地监控和分析其 Azure/M365 环境中的安全状况,及时发现并应对潜在的安全威胁。无论是企业安全团队还是事件响应人员,都可以从中受益。立即访问 releases 下载并体验这一强大的安全工具吧!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
