CISA a furnizat îndrumări pentru agențiile guvernamentale și întreprinderi privind utilizarea jurnalelor extinse din cloud în locațiile lor Microsoft 365 ca parte a investigațiilor lor forensice și de conformitate.
Agenția de securitate cibernetică a explicat că aceste capacități de jurnalizare Microsoft Purview Audit (Standard) recent introduse susțin operațiunile de securitate cibernetică ale întreprinderii furnizând acces la informații despre evenimente critice precum mailuri trimise, mailuri accesate și căutări de utilizatori în Exchange Online și SharePoint Online.
„Aceste capacități permit, de asemenea, organizațiilor să monitorizeze și să analizeze mii de operațiuni ale utilizatorilor și administratorilor efectuate în zeci de servicii și soluții Microsoft”, a declarat CISA miercuri.
„Aceste jurnale furnizează telemetrie nouă pentru a îmbunătăți capacitățile de vânătoare a amenințărilor pentru compromiterea prin e-mail a afacerilor (BEC), activități avansate ale amenințărilor națiunii și posibile scenarii de risc intern”, a adăugat agenția.
În plus, ghidul de 60 de pagini publicat astăzi include și îndrumări privind navigarea în jurnalele extinse din Microsoft 365 și ingestia acestora în sistemele Microsoft Sentinel și Splunk SIEM (Security Information and Event Management).
Capacitățile extinse de jurnalizare gratuite ale Microsoft sunt disponibile pentru toți clienții standard de auditare Purview (cu licențe E3/G3 și superioare) sub presiunea din partea CISA după ce a dezvăluit în iulie 2023 că un atac de hacking chinezesc urmărit ca Storm-0558 a furat mailuri aparținând oficialilor guvernamentali de rang înalt din Departamentele de Stat și Comerț într-o încălcare a Exchange Online între mai și iunie 2023.
Actorii de amenințare au utilizat o cheie de cont Microsoft (MSA) furată dintr-o descărcare de crash Windows în aprilie 2021 pentru a falsifica tokenuri de autentificare, ceea ce le-a acordat acces la conturile de e-mail vizate prin Outlook.com și Outlook Web Access în Exchange Online (OWA).
În timp ce atacatorii au evitat în mare parte detectarea, Centrul de Operațiuni de Securitate al Departamentului de Stat a detectat activitatea malefică folosind un „instrument de detectare intern” cu acces la jurnalizarea cloud îmbunătățită (adică evenimentele MailItemsAccessed).
Însă aceste capacități de jurnalizare (în special evenimentele MailItemsAccessed cu ClientAppID și AppID neașteptate) erau disponibile doar pentru clienții cu licențe de jurnalizare Premium Purview Audit de la Microsoft. Acest lucru a condus la critici extinse din industrie la adresa Redmond pentru împiedicarea organizațiilor de a detecta prompt atacurile Storm-0558.
Luni după încălcare, oficialii Departamentului de Stat au dezvăluit că hackerii chinezi au furat peste 60.000 de mailuri din conturile Outlook ale oficialilor departamentului după ce au încălcat platforma de e-mail Exchange Online bazată pe cloud a Microsoft.
CISA ordonă agențiilor federale să-și securizeze locațiile Microsoft 365
Întreruperea Microsoft 365 dă jos aplicațiile web Office, centrul de admin
Microsoft își încheie suportul pentru aplicațiile Office pe Windows 10 în octombrie
Hackerii folosesc FastHTTP în noi atacuri de parolă Microsoft 365 de mare viteză
Actualizările Windows din ianuarie pot eșua dacă este instalat Citrix SRA
Leave a Reply