Η Microsoft επεκτείνει τη διατήρηση αρχείων καταγραφής Purview Audit, όπως είχε υποσχεθεί μετά την παραβίαση δεκάδων εταιρικών και κυβερνη
τι
κών λογαριασμών του Exchange και του Microsoft 365 από την κινεζική ομάδα
hacking
Storm-0558 τον Ιούλιο.
Ο κατάλογος των οργανισμών που επηρεάστηκαν περιελάμβανε κυβερνητικές
υπηρεσίες
στις περιοχές των ΗΠΑ και της Δυτικής Ευρώπης, με
τα Υπουργεία Εξωτερικών και Εμπορίου των ΗΠΑ
ανάμεσα τους.
Το Στέιτ Ντιπάρτμεντ αποκάλυψε τον περασμένο μήνα ότι οι δράστες έκλεψαν τουλάχιστον 60.000 email από λογαριασμούς του Outlook που ανήκαν σε αξιωματούχους που σταθμεύουν στην Ανατολική Ασία, τον Ειρηνικό και την Ευρώπη.
Η Microsoft αποκάλυψε ότι η ομάδα hacking χρησιμοποίησε ένα κλειδί υπογραφής καταναλωτή που ελήφθη από ένα crash dump των Windows μετά από παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft. Αυτό το κλειδί χρησιμοποιήθηκε για εισβολή σε λογαριασμούς Exchange Online και Azure Active Directory (AD), παρέχοντάς τους πρόσβαση σε κυβερνητικούς λογαριασμούς email.
Οι αλλαγές στη διατήρηση καταγραφής ελέγχου που ανακοινώθηκαν σήμερα θα εφαρμοστούν στους πελάτες του Microsoft Purview Audit με άδειες Standard τις επόμενες εβδομάδες, ξεκινώντας από τους ενοικιαστές επιχειρήσεων αυτόν τον μήνα και τους κυβερνητικούς πελάτες τον Νοέμβριο.
“Ξεκινώντας τον Οκτώβριο του 2023, ξεκινήσαμε την εφαρμογή αλλαγών για την επέκταση της διατήρησης προεπιλογής σε 180 ημέρες από 90 για
αρχεία
καταγραφής ελέγχου που δημιουργούνται από πελάτες Audit (Standard). Οι κάτοχοι άδειας ελέγχου (Premium) θα συνεχίσουν με προεπιλογή ενός έτους και η επιλογή να παραταθεί έως και 10 χρόνια»
είπε
Microsoft Purview CVP Rudra Mitra.
“Αυτή η ενημέρωση βοηθά όλους τους οργανισμούς να ελαχιστοποιήσουν τον κίνδυνο αυξάνοντας την πρόσβαση σε δεδομένα δραστηριότητας καταγραφής ιστορικού ελέγχου που είναι κρίσιμης σημασίας κατά τη διερεύνηση του αντίκτυπου από ένα περιστατικό παραβίασης ασφάλειας ή την αντιμετώπιση ενός συμβάντος δικαστικής διαμάχης.”
Κρίσιμα σημεία δεδομένων καταγραφής για όλους
Υπό την
πίεση
της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), η Microsoft συμφώνησε επίσης να διευρύνει την πρόσβαση στα δεδομένα καταγραφής cloud χωρίς κόστος, κάτι που θα βοηθήσει τους υπερασπιστές του δικτύου να εντοπίσουν παρόμοιες απόπειρες παραβίασης στο μέλλον.
Προηγουμένως, τέτοιες δυνατότητες καταγραφής ήταν αποκλειστικά προσβάσιμες σε πελάτες με επί πληρωμή άδειες Purview Audit (Premium). Εξαιτίας αυτού, η Microsoft αντιμετώπισε ευρεία κριτική για παρεμπόδιση των δυνατοτήτων των οργανισμών να ανιχνεύουν τις επιθέσεις του Storm-0558.
Από τον Δεκέμβριο του 2023, οι πελάτες της Microsoft με άδειες Purview Audit (Standard) θα πρέπει επίσης να έχουν πρόσβαση σε επιπλέον αρχεία καταγραφής πρόσβασης email και σε 30 άλλα συμβάντα Yammer/Viva Engage, Teams, Exchange και Sharepoint που προηγουμένως ήταν διαθέσιμα μόνο σε πελάτες με άδειες Premium.
Τα επιπλέον δεδομένα καταγραφής θα είναι διαθέσιμα μετά από μια σταδιακή διαδικασία διάθεσης. Η τελευταία φάση θα φτάσει τον Σεπτέμβριο του 2024, όταν η εταιρεία θα ξεκινήσει να επεκτείνει τα αρχεία καταγραφής δραστηριοτήτων ασφάλειας cloud για το Microsoft Exchange και το SharePoint με την προσθήκη συμβάντων MailItemsAccessed, Send, SearchQueryInitiatedExchange και SearchQueryInitiatedSharepoint.
“Η Microsoft συνεργάστηκε στενά με την CISA για να εντοπίσει αυτά τα κρίσιμα αρχεία καταγραφής και να τα συμπεριλάβει στην άδεια χρήσης Microsoft Purview Audit (Τυπική)”, δήλωσε ο Mitra.
“Οι κάτοχοι αδειών ελέγχου (Premium) θα συνεχίσουν να έχουν μεγαλύτερη προεπιλεγμένη διατήρηση, ευρύτερη πρόσβαση σε δεδομένα εξαγωγής, πρόσβαση σε API υψηλότερου εύρους ζώνης και αρχεία καταγραφής εμπλουτισμένα από τις έξυπνες πληροφορίες της Microsoft που υποστηρίζονται από AI.”
VIA:
bleepingcomputer.com
