Untitled Goose-Nueva herramienta para buscar y responder a incidentes de seguridad
AS-017-2023
Fecha: 04/Abr/2023
Resumen:
CISA lanzó la herramienta Untitled Goose para ayudar a detectar actividades potencialmente maliciosas en entornos Microsoft Azure, Azure Active Directory (AAD) y Microsoft 365 (M365). Untitled Goose Tool ofrece nuevos métodos de autenticación y recopilación de datos y el análisis de servicios en la nube de Microsoft.
Esta herramienta se ha diseñado para ayudar a los equipos de respuesta a incidentes en entornos que no incorporan registros en una Administración de eventos e información de seguridad (SIEM).
Requisitos previos.
Se requiere Python 3.7, 3.8 o 3.9 para ejecutar Untitled Goose Tool con Python.
Se requiere Firefox para autenticarse con Untitled Goose Tool.
También se recomienda ejecutar Untitled Goose Tool en un entorno virtual.
Mac OS X
- pip3 install virtualenv
- virtualenv -p python3 .venv
- source .venv/bin/activate
Linux
- # You may need to run sudo apt-get install python3-venv first
- python3 -m venv .venv
- source .venv/bin/activate
Windows
- # You can also use py -3 -m venv .venv
- python -m venv .venv
- .venv\Scripts\activate
Requisitos de permisos.
Se requieren los siguientes permisos de AzureAD/M365 para ejecutar Untitled Goose Tool y proporcionarle acceso de solo lectura.
Una cuenta de usuario con los siguientes permisos:
Centro de administración en línea de Exchange
- View-Only Audit Logs
- View-Only Configuration
- View-Only Recipients
- User Options
Una entidad de servicio con los siguientes permisos:
Permisos de API
Microsoft Threat Protection:
- AdvancedHunting.Read.All (Application)
WindowsDefenderATP:
- AdvancedQuery.Read.All (Application)
- Alert.Read.All (Application)
- Library.Manage (Application)
- Machine.Read.All (Application)
- SecurityRecommendation.Read.All (Application)
- Software.Read.All (Application)
- Ti.ReadWrite (Application)
- Vulnerability.Read.All (Application)
Microsoft Graph:
- APIConnectors.Read.All (Application)
- AuditLog.Read.All (Application)
- ConsentRequest.Read.All (Application)
- Directory.Read.All (Application)
- Domain.Read.All (Application)
- IdentityProvider.Read.All (Application)
- IdentityRiskEvent.Read.All (Application)
- IdentityRiskyServicePrincipal.Read.All (Application)
- IdentityRiskyUser.Read.All (Application)
- MailboxSettings.Read (Application)
- Policy.Read.All (Application)
- Policy.Read.PermissionGrant (Application)
- Reports.Read.All (Application)
- RoleManagement.Read.All (Application)
- SecurityActions.Read.All (Application)
- SecurityAlert.Read.All (Application)
- SecurityEvents.Read.All (Application)
- UserAuthenticationMethod.Read.All (Application)
Roles de IAM de suscripción de Azure:
- Reader
- Storage Blob Data Reader
- Storage Queue Data Reader
Instalación:
Para instalar, clone el repositorio y luego haga una instalación pip:
git clone https://github.com/cisagov/untitledgoosetool.git
- cd untitledgoosetool
- python3 -m pip install.
Referencias: