esenfrdeitptru

Untitled Goose-Nueva herramienta para buscar y responder a incidentes de seguridad

AS-017-2023

Fecha: 04/Abr/2023

Resumen:

CISA lanzó la herramienta Untitled Goose para ayudar a detectar actividades potencialmente maliciosas en entornos Microsoft Azure, Azure Active Directory (AAD) y Microsoft 365 (M365). Untitled Goose Tool ofrece nuevos métodos de autenticación y recopilación de datos y el análisis de servicios en la nube de Microsoft.

Esta herramienta se ha diseñado para ayudar a los equipos de respuesta a incidentes en entornos que no incorporan registros en una Administración de eventos e información de seguridad (SIEM).

Requisitos previos.

Se requiere Python 3.7, 3.8 o 3.9 para ejecutar Untitled Goose Tool con Python.
Se requiere Firefox para autenticarse con Untitled Goose Tool.
También se recomienda ejecutar Untitled Goose Tool en un entorno virtual.

Mac OS X

  • pip3 install virtualenv
  • virtualenv -p python3 .venv
  • source .venv/bin/activate

Linux

  • # You may need to run sudo apt-get install python3-venv first
  • python3 -m venv .venv
  • source .venv/bin/activate

Windows

  • # You can also use py -3 -m venv .venv
  • python -m venv .venv
  • .venv\Scripts\activate

Requisitos de permisos.

Se requieren los siguientes permisos de AzureAD/M365 para ejecutar Untitled Goose Tool y proporcionarle acceso de solo lectura.

Una cuenta de usuario con los siguientes permisos:

Centro de administración en línea de Exchange

  • View-Only Audit Logs
  • View-Only Configuration
  • View-Only Recipients
  • User Options

Una entidad de servicio con los siguientes permisos:

Permisos de API

Microsoft Threat Protection:

  • AdvancedHunting.Read.All (Application)

WindowsDefenderATP:

  • AdvancedQuery.Read.All (Application)
  • Alert.Read.All (Application)
  • Library.Manage (Application)
  • Machine.Read.All (Application)
  • SecurityRecommendation.Read.All (Application)
  • Software.Read.All (Application)
  • Ti.ReadWrite (Application)
  • Vulnerability.Read.All (Application)

Microsoft Graph:

  • APIConnectors.Read.All (Application)
  • AuditLog.Read.All (Application)
  • ConsentRequest.Read.All (Application)
  • Directory.Read.All (Application)
  • Domain.Read.All (Application)
  • IdentityProvider.Read.All (Application)
  • IdentityRiskEvent.Read.All (Application)
  • IdentityRiskyServicePrincipal.Read.All (Application)
  • IdentityRiskyUser.Read.All (Application)
  • MailboxSettings.Read (Application)
  • Policy.Read.All (Application)
  • Policy.Read.PermissionGrant (Application)
  • Reports.Read.All (Application)
  • RoleManagement.Read.All (Application)
  • SecurityActions.Read.All (Application)
  • SecurityAlert.Read.All (Application)
  • SecurityEvents.Read.All (Application)
  • UserAuthenticationMethod.Read.All (Application)

Roles de IAM de suscripción de Azure:

  • Reader
  • Storage Blob Data Reader
  • Storage Queue Data Reader

Instalación:

Para instalar, clone el repositorio y luego haga una instalación pip:

git clone https://github.com/cisagov/untitledgoosetool.git

  • cd untitledgoosetool
  • python3 -m pip install.

Referencias:

https://www.cisa.gov/news-events/alerts/2023/03/23/untitled-goose-tool-aids-hunt-and-incident-response-azure-azure-active-directory-and-microsoft-365

https://github.com/cisagov/untitledgoosetool

Tlp Clear 2023