探索威胁检测的新工具:Mandiant Azure AD Investigator
Mandiant-Azure-AD-Investigator项目地址:https://gitcode.com/gh_mirrors/ma/Mandiant-Azure-AD-Investigator
项目简介
Mandiant Azure AD Investigator 是一个由 Mandiant 公司开发的 PowerShell 模块,专注于识别可能关联 UNC2452 及其他威胁行为者的活动指标。该工具有着明确的目标,即在不修改 Microsoft 365 环境的前提下,进行最佳努力的检测,但同时也强调了分析和验证的重要性。
技术分析
该项目采用 PowerShell 脚本语言,利用 MS Online PowerShell 和 Azure AD PowerShell 对 Azure Active Directory(AD)环境进行深入审计。其主要关注点包括:
- Federated Domains:检查域的联盟状态,如证书的有效期、签发者和主题是否匹配,以及是否有可疑的配置。
- Service Principals:监控服务主体,特别是那些拥有高权限且添加了额外凭据的服务主体,以及第一方服务主体的异常行为。
- Applications:检查具有高风险 API 权限并附加了凭证的应用程序。
每个部分都提供了详细的检查规则和潜在的异常情况,并给出了如何进一步调查的建议。
应用场景
这个工具适用于安全团队或 IT 专业人员,在怀疑或预防网络安全攻击时,对 Azure AD 环境进行深度审计。它可以用于:
- 日常的安全健康检查,以确保环境中没有潜在的恶意活动。
- 响应已知威胁,如 UNC2452 的活动,提高响应速度和准确性。
- 教育和培训,帮助团队理解威胁行为者使用的技巧和战术。
项目特点
- 高效读取:该工具是只读的,不会改变您的 Azure AD 配置,确保了环境的安全性。
- 多角度审计:覆盖了从联盟域到服务主体和应用程序的多个关键领域,提供全面的洞察力。
- 警示系统:通过警告来突出显示可能的妥协迹象和异常行为,方便快速反应。
- 持续改进:鼓励社区反馈,将根据新的威胁模式更新检测功能。
示例说明
例如,当发现一个与 any.sts
发行者URI配置的联合域时,这可能是 Azure AD 后门工具的标志,或者服务主体拥有高风险权限和附加凭证,这些都会触发警报,提示进行进一步的调查。
总的来说,Mandiant Azure AD Investigator 提供了一个强大而实用的框架,可以帮助您更好地了解和保护您的 Azure AD 环境。为了保持您的组织安全,我们强烈推荐集成并利用这个开源工具。
Mandiant-Azure-AD-Investigator项目地址:https://gitcode.com/gh_mirrors/ma/Mandiant-Azure-AD-Investigator