CISA pasidalijo gairėmis vyriausybinėms agentūroms ir įmonėms, kaip naudoti išplėstinius debesies žurnalus savo „Microsoft 365“ nuomininkams atliekant teismo ekspertizės ir atitikties tyrimus.
Kaip paaiškino kibernetinio saugumo agentūra, šios naujai pristatytos „Microsoft Purview Audit“ (standartinės) registravimo galimybės palaiko įmonės kibernetinio saugumo operacijas suteikdamos prieigą prie informacijos apie svarbius įvykius, tokius kaip išsiųstas paštas, pasiekiamas paštas ir vartotojų paieška „Exchange Online“ ir „SharePoint Online“.
„Šios galimybės taip pat leidžia organizacijoms stebėti ir analizuoti tūkstančius vartotojų ir administratoriaus operacijų, atliekamų dešimtyse „Microsoft“ paslaugų ir sprendimų“, – trečiadienį pranešė CISA.
„Šie žurnalai suteikia naują telemetriją, kad padidintų grėsmių paieškos galimybes, susijusias su verslo el. pašto kompromisu (BEC), pažangia nacionalinės valstybės grėsmės veikla ir galimais viešai neatskleistos rizikos scenarijais“, – pridūrė agentūra.
Šiandien paskelbtoje 60 puslapių knygelėje taip pat pateikiamos gairės, kaip naršyti išplėstiniuose „Microsoft 365“ žurnaluose ir patekti į „Microsoft Sentinel“ ir „Splunk SIEM“ (saugos informacijos ir įvykių valdymo) sistemas.
Žurnalai išplėsti po 2023 m. „Exchange Online“ pažeidimo
„Microsoft“ išplėtė nemokamas registravimo galimybes visiems „Purview Audit“ standartiniams klientams (su E3/G3 ir naujesnėmis licencijomis), spaudžiant CISA, 2023 m. liepos mėn. atskleidusi, kad Kinijos įsilaužimas, pažymėtas kaip Storm-0558, pavogė aukšto rango vyriausybės pareigūnų el. laiškus iš valstybės ir prekybos. skyrių „Exchange Online“. pažeidimas 2023 m. gegužės–birželio mėn.
Grėsmių sukėlėjai panaudojo „Microsoft“ paskyros (MSA) raktą, pavogtą iš „Windows“ avarijos 2021 m. balandžio mėn., kad suklastotų autentifikavimo prieigos raktus, kurie suteikė jiems prieigą prie tikslinių el. pašto paskyrų per „Outlook.com“ ir „Outlook Web Access“ sistemoje „Exchange Online“ (OWA).
Nors užpuolikai dažniausiai vengdavo aptikimo, Valstybės departamento Saugumo operacijų centras (SOC) aptiko kenkėjišką veiklą naudodamas „vidinį aptikimo įrankį“, turintį prieigą prie patobulinto debesų registravimo (ty „MailItemsAccessed“ įvykių).
Tačiau šios registravimo galimybės (ypač MailItemsAccessed įvykiai su netikėtais ClientAppID ir AppID) buvo prieinamos tik klientams, turintiems Microsoft Purview Audit (Premium) registravimo licencijas. Tai paskatino plačią pramonės kritiką Redmondui dėl trukdymo organizacijoms greitai aptikti Storm-0558 atakas.
Praėjus mėnesiams po pažeidimo, Valstybės departamento pareigūnai atskleidė, kad Kinijos įsilaužėliai pavogė daugiau nei 60 000 el. laiškų iš departamento pareigūnų „Outlook“ paskyrų, kai pažeidė „Microsoft“ debesyje pagrįstą „Exchange Online“ el. pašto platformą.
