如何使用Sparrow.ps1快速识别Azure环境中的可疑账号活动？3步上手教程

【免费下载链接】Sparrow Sparrow.ps1 was created by CISA's Cloud Forensics team to help detect possible compromised accounts and applications in the Azure/m365 environment. 项目地址: https://gitcode.com/gh_mirrors/spar/Sparrow

Sparrow.ps1是由CISA云取证团队开发的Azure安全审计工具，专为检测Azure/m365环境中可能被入侵的账号和应用程序而设计。作为一款轻量级PowerShell脚本，它能帮助安全响应人员快速定位身份认证相关的可疑活动，特别适用于SolarWinds等供应链攻击后的威胁狩猎场景。

🚨 为什么选择Sparrow.ps1进行账号安全检测？

在云环境中，账号 compromise 往往是数据泄露的源头。Sparrow.ps1通过聚焦以下关键威胁指标（IoC），帮助安全团队缩小调查范围：

• 异常的Azure AD域认证设置变更
• 应用程序凭证和密钥的异常修改
• 可疑的服务主体权限提升
• 异常的PowerShell登录行为
• SAML令牌使用异常（UserAuthenticationValue=16457）

该工具将分析结果输出为结构化CSV文件（默认保存于Desktop/ExportDir目录），便于进一步分析和可视化。

🔍 准备工作：环境与权限要求

使用Sparrow.ps1前需确保满足以下条件：

必要权限配置

• Azure Active Directory：Security Reader角色
• 安全与合规中心：Compliance Administrator角色
• Exchange Online：需包含以下特定权限的自定义组：
  • Mail Recipients
  • Security Group Creation and Membership
  • View-Only Audit log
  • View-Only Recipients

系统环境要求

• 安装PowerShell 5.1或更高版本
• 启用Unified Audit Logs（统一审计日志）
• 若需检测MailItemsAccessed操作，需Office 365/Microsoft 365 E5/G5许可证

必需PowerShell模块

Sparrow.ps1依赖以下模块，脚本会自动检查并安装：

• ExchangeOnlineManagement
• AzureAD
• MSOnline

🚀 3步快速上手使用教程

第一步：获取并准备脚本

通过PowerShell直接下载脚本（推荐）：

Invoke-WebRequest 'https://github.com/cisagov/Sparrow/raw/develop/Sparrow.ps1' -OutFile 'Sparrow.ps1' -UseBasicParsing

或通过Git克隆完整仓库：

git clone https://gitcode.com/gh_mirrors/spar/Sparrow
cd Sparrow

第二步：配置代理（如需要）

若在企业网络环境中使用，需先配置代理：

[System.Net.WebRequest]::DefaultWebProxy = New-Object System.Net.WebProxy('http://proxyname:port')
[System.Net.WebRequest]::DefaultWebProxy.Credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials

第三步：执行脚本并分析结果

直接运行脚本：

.\Sparrow.ps1

脚本执行过程中会：

1. 自动安装/导入所需模块
2. 提示选择Azure环境（默认AzureCloud）和Exchange环境（默认O365Default）
3. 连接Exchange Online、MSOnline和AzureAD服务
4. 询问是否拥有E5/G5许可证（影响MailItemsAccessed检测）
5. 选择应用程序调查范围（单个/所有/跳过）

分析完成后，结果文件将保存至：

• CSV文件：Desktop/ExportDir目录下，包含各类操作日志
• 汇总Excel：Summary_Export.xlsx（需本地安装Excel）

📊 关键检测结果解析

Sparrow.ps1生成的主要报告文件包括：

文件名	检测内容	安全关注点
Domain_Operations_Export.csv	域认证和联合设置变更	恶意域接管风险
AppUpdate_Operations_Export.csv	应用凭证修改记录	凭证窃取迹象
ServicePrincipal_Operations_Export.csv	服务主体权限变更	权限提升攻击
SAMLToken_Operations_Export.csv	SAML令牌异常使用	会话劫持风险
PSLogin_Operations_Export.csv	PowerShell登录活动	后门访问痕迹

重点关注CSV文件中的ResultStatus（成功操作）、ClientIP（异常IP地址）和ModifiedProperties（敏感属性变更）字段。

⚠️ 注意事项与最佳实践

1. 权限最小化：使用专用审计账号运行脚本，避免使用全局管理员权限
2. 定期执行：建议每周至少运行一次，结合Aviary仪表盘进行趋势分析
3. 日志留存：确保统一审计日志保留至少90天（默认仅保留30天）
4. 告警跟进：对检测到的异常活动，可通过Microsoft 365 Defender进一步调查

📚 扩展资源

• 官方使用指南：CISA AA21-008A警报
• 结果可视化工具：Aviary仪表盘
• 模块源码参考：Sparrow.ps1

通过Sparrow.ps1的系统化检测流程，安全团队可以快速掌握Azure环境中的账号安全状况，及时发现并响应潜在的身份威胁。定期使用该工具能显著提升云环境的安全态势感知能力。

【免费下载链接】Sparrow Sparrow.ps1 was created by CISA's Cloud Forensics team to help detect possible compromised accounts and applications in the Azure/m365 environment. 项目地址: https://gitcode.com/gh_mirrors/spar/Sparrow