SolarWinds製品の脆弱性に端を発するサイバーセキュリティインシデントは、Microsoftが提供するクラウド環境にも大きな影響を与えている。具体的には、Microsoft Azure Active Directory(AD)、Office 365(O365)、およびMicrosoft 365(M365)環境において、SolarWinds製品を介して侵入し、持続的な標的型攻撃が行われたことが報告されている。

こうしたことに伴い、米Cybersecurity and Infrastructure Security Agency(CISA)は、2020年12月にAzure/M365環境における侵害の痕跡を検出するPowerShellベースのツール「Sparrow」を公開した。続いてCISAは4月9日(米国時間)、Sparrowによる出力を可視化するためのSplunkベースのダッシュボードツール「Aviary」を公開した。

SparrowおよびAviaryは次のGitHubリポジトリからダウンロードできる。

  • Sparrowの出力データを可視化するツール「Aviarry」

    Sparrowの出力データを可視化するツール「Aviarry」

SparrowはPowerShellベースのツールであり、Azure/M365環境で実行すると、分析に必要となるPowerShellモジュールをインストールした上で、統合監査ログから特定の侵入の痕跡(IoC)のチェックや、Azure ADドメインを一覧表示、AzureサービスプリンシパルとそのMicrosoft Graph APIのアクセス許可のチェックなどを行う。そして検証結果を複数のCSVファイルに出力する。

AviaryはSplunkベースで開発されており、Sparrowが出力したCSVファイルを読み込んで、ダッシュボード形式に可視化してくれる。同ツールを使う際は、Sparrowの出力CSVファイルをSplunkに取り込み、続いてAviaryのXMLファイル(aviary.xml)を新しいダッシュボードに貼り付ける。そして、データ選択フィルターでSparrowデータをポイントすれば検証結果がダッシュボード表示されるという。

CISAでは、Aviaryの公開に伴って、Microsoftクラウド環境におけるSolarWindsサイバーインシデントの影響を警告したセキュリティアラート「AA21-008A」を更新し、Aviaryに関する説明を追加している。詳細はAA21-008Aの2021年4月8日更新部分を参照いただきたい。

  • セキュリティアラート「AA21-008A」の2021年4月8日更新部分

    セキュリティアラート「AA21-008A」の2021年4月8日更新部分

Sparrowの出力データの分析が容易になることで、ネットワーク管理者が侵害の痕跡をより確実に把握可能になることが期待できる。