Untuk meningkatkan upaya keamanan sibernya dan melindungi lingkungan cloud Microsoft dari aktivitas jahat, Cybersecurity and Infrastructure Security Agency (CISA ) baru-baru ini meluncurkan alat tanggap insiden bersumber terbuka yang dijuluki “Untitled Goose Tool.” Alat utilitas ini didasarkan pada Python dan telah dikembangkan dalam kemitraan dengan Sandia, laboratorium nasional di bawah Departemen Energi Amerika Serikat.
“Alat Angsa Tanpa Judul” memungkinkan pembuangan informasi telemetri dari berbagai lingkungan, termasuk Azure Active Directory, Microsoft Azure, Microsoft 365, Microsoft Defender untuk Endpoint (MDE), dan Defender untuk Internet of Things (IoT) (D4IoT). Fitur berharga ini membantu mengidentifikasi potensi ancaman, sehingga memungkinkan tim keamanan mengambil tindakan proaktif untuk melindungi lingkungan cloud mereka.
Fitur Alat Angsa Tanpa Judul
Pakar keamanan dan administrator jaringan dapat menggunakan alat analisis dan interogasi cloud Microsoft lintas platform dari CISA untuk:-
Analisis mendalam dan ekspor:
- Log masuk dan audit AAD: Alat ini memungkinkan ekstraksi dan analisis log masuk dan audit dari Microsoft Azure Active Directory. Informasi ini dapat digunakan untuk mengidentifikasi dan menyelidiki potensi ancaman keamanan.
- M365 log audit terpadu: Alat ini juga memungkinkan ekstraksi dan analisis log audit terpadu dari Microsoft 365. Log ini memberikan pandangan komprehensif tentang aktivitas di berbagai layanan di M365, yang dapat membantu mengidentifikasi dan menyelidiki insiden keamanan.
- Log aktivitas Azure: Alat ini juga memungkinkan ekstraksi dan analisis log aktivitas dari Microsoft Azure. Log ini memberikan informasi tentang perubahan yang dilakukan pada sumber daya Azure, yang dapat membantu mengidentifikasi potensi ancaman keamanan.
- Peringatan Microsoft Defender untuk IoT: Alat ini memungkinkan ekstraksi dan analisis peringatan dari Microsoft Defender untuk IoT. Peringatan ini dapat membantu mengidentifikasi potensi ancaman keamanan di lingkungan IoT.
- Data Microsoft Defender for Endpoint untuk aktivitas yang mencurigakan: Alat ini juga memungkinkan ekstraksi dan analisis data untuk aktivitas yang mencurigakan dari Microsoft Defender for Endpoint. Hal ini dapat membantu mengidentifikasi potensi ancaman terhadap perangkat endpoint dan mengambil tindakan proaktif untuk mencegahnya.
- Menganalisis konfigurasi AAD, M365, dan Azure melalui kueri, ekspor, dan investigasi
Prasyarat
Untuk menjalankan Untitled Goose Tool dengan Python, diperlukan versi berikut
- Python 3.7
- Python 3.8
- Python 3.9
Selain itu, disarankan untuk menjalankan Untitled Goose Tool dalam lingkungan virtual.
- Mac OSX
- Linux
- Windows
Untuk meningkatkan langkah-langkah keamanan siber organisasi terhadap ancaman siber yang muncul, Badan Keamanan Siber dan Infrastruktur (CISA) baru-baru ini mengambil beberapa langkah mitigasi. Salah satu langkah tersebut adalah peluncuran sebuah perangkat sumber terbuka bernama ‘Decider’ awal bulan ini, yang ditujukan bagi para pembela HAM untuk membantu mereka membuat laporan pemetaan MITRE ATT&CK.
Alat ini diluncurkan setelah publikasi panduan “praktik terbaik” pada bulan Januari, yang menekankan pentingnya mematuhi standar. Selain itu, CISA memperingatkan entitas infrastruktur penting di awal tahun 2023 tentang kerentanan sistem mereka terhadap serangan ransomware karena paparan internet.
Peringatan ini merupakan hasil dari kemitraan baru yang dibentuk pada Agustus 2021, yang disebut Joint Cyber Defense Collaborative (JCDC), dengan fokus melindungi infrastruktur inti Amerika Serikat dari serangan siber, seperti ransomware.
Menginstal
Cukup mudah untuk menginstal paket dengan mengkloning repositori dan kemudian melakukan instalasi dengan pip:
git clone https://github.com/cisagov/untitledgoosetool.git
cd untitledgoosetool
python3 -m pip install .Pada bulan Juni 2021, Ransomware Readiness Assessment (RRA) diluncurkan untuk memperbarui Alat Evaluasi Keamanan Siber (CSET). Modul ini bertujuan untuk membantu organisasi dalam menilai kesiapan mereka dalam mencegah dan memulihkan diri dari ransomware dan serangan siber lainnya.