Mandiant Azure AD调查员 专注于UNC2452 TTP 概述 该存储库包含一个PowerShell模块，用于检测可能是UNC2452和其他威胁行为者活动指标的工件。 一些指标是折衷的“高保真”指标，而其他工件则称为“双重使用”工件。 双重用途工件可能与威胁行为者的活动有关，但也可能与合法功能有关。 这些将需要分析和验证。 有关UNC2452使用的技术的详细说明，请参见我们的博客。 该工具是只读的。 它不会对Microsoft 365环境进行任何更改。 总而言之，该模块将：