文件名称:Mandiant-Azure-AD-Investigator
文件大小:23KB
文件格式:ZIP
更新时间:2024-03-27 10:51:36
PowerShell
Mandiant Azure AD调查员 专注于UNC2452 TTP 概述 该存储库包含一个PowerShell模块,用于检测可能是UNC2452和其他威胁行为者活动指标的工件。 一些指标是折衷的“高保真”指标,而其他工件则称为“双重使用”工件。 双重用途工件可能与威胁行为者的活动有关,但也可能与合法功能有关。 这些将需要分析和验证。 有关UNC2452使用的技术的详细说明,请参见我们的博客。 该工具是只读的。 它不会对Microsoft 365环境进行任何更改。 总而言之,该模块将: 尽最大努力确定需要进一步验证和分析的折衷指标 它不会: 100%地找出折衷方案,或者 告诉您工件是合法的管理员活动还是威胁参与者的活动。 有了社区的反馈,该工具在检测IOC方面可能会变得更加彻底。 如果您有任何问题,想法或反馈,请打开,或与作者联系。 特征 联合域 该模块使用MS Online
【文件预览】:
Mandiant-Azure-AD-Investigator-master
----.gitignore(10B)
----Initialization.ps1(761B)
----LICENSE-2.0.txt(11KB)
----README.md(17KB)
----MandiantAzureADInvestigator.json(12KB)
----MandiantAzureADInvestigator.psm1(42KB)
----MandiantAzureADInvestigator.psd1(2KB)