CISA, adli ve uyumluluk araştırmalarının bir parçası olarak Microsoft 365 kiracılarında genişletilmiş bulut günlüklerini kullanma konusunda devlet kurumları ve işletmeler için rehberlik etti.
Siber güvenlik ajansının açıkladığı gibi, bu yeni tanıtılan Microsoft Purview Denetim (Standart) günlük kaydı özellikleri, çevrimiçi ve SharePoint Online'da gönderilen posta, posta erişimi ve kullanıcı aramaları gibi kritik etkinlikler hakkında bilgilere erişim sağlayarak kurumsal siber güvenlik işlemlerini destekler.
CISA Çarşamba günü yaptığı açıklamada, "Bu yetenekler aynı zamanda kuruluşların düzinelerce Microsoft hizmet ve çözümünde gerçekleştirilen binlerce kullanıcı ve yönetici işlemini izlemesine ve analiz etmesine izin veriyor." Dedi.
Ajans, "Bu günlükler, işletme e-posta uzlaşması (BEC), gelişmiş ulus-devlet tehdit faaliyetleri ve olası içeriden risk senaryoları için tehdit avı yeteneklerini geliştirmek için yeni telemetri sağlıyor."
Bugün yayınlanan 60 sayfalık oyun kitabı, Microsoft 365 içindeki genişletilmiş günlüklerde gezinme ve Microsoft Sentinel ve Splunk Siem (Güvenlik Bilgileri ve Etkinlik Yönetimi) sistemlerine girme konusunda rehberlik içerir.
Microsoft, Temmuz 2023'te Storm-0558 olarak izlenen bir Çin hackinin, eyalet ve commerce'den üst düzey hükümet yetkililerine ait e-postaları çaldığını açıkladıktan sonra tüm Purview denetimi standart müşterileri (E3/G3 lisansları ve üstü) için ücretsiz günlüğü genişletti. Mayıs ve Haziran 2023 arasında bir Borsa Çevrimiçi İhlali Bölümleri.
Tehdit oyuncusu, Nisan 2021'de Windows Crash Dump'tan çalınan bir Microsoft Hesap (MSA) anahtarı, Outlook.com ve Outlook Web Erişiminde Online (OWA) aracılığıyla hedeflenen e -posta hesaplarına erişim sağlayan kimlik doğrulama jetonlarını oluşturmak için kullandı.
Saldırganlar çoğunlukla tespitten kaçınırken, Dışişleri Bakanlığı Güvenlik Operasyon Merkezi (SOC), gelişmiş bulut günlüğüne (yani MailItemSaccessed olaylarına) erişimi olan bir "şirket içi algılama aracı" kullanarak kötü niyetli etkinliği tespit etti.
Bununla birlikte, bu günlüğe kaydetme özellikleri (özellikle beklenmedik ClientAppid ve Appid ile MailItemSaccessed etkinlikleri) yalnızca Microsoft'un Purview Denetimi (Premium) günlük lisanslarına sahip müşteriler için kullanılabilir. Bu, Redmond'un organizasyonların Storm-0558'in saldırılarını derhal tespit etmesini engellediği için yaygın endüstri eleştirisine yol açtı.
İhlalden aylar sonra, Dışişleri Bakanlığı yetkilileri, Çinli bilgisayar korsanlarının Microsoft'un bulut tabanlı Exchange çevrimiçi e-posta platformunu ihlal ettikten sonra departman yetkililerinin görünüm hesaplarından 60.000'den fazla e-posta çaldığını açıkladı.
CISA, Microsoft 365 Kiracıları Güvenceğini Federal Ajanslara Sipariş Edin
Microsoft 365 Outage, Office Web Uygulamalarını, Yönetici Merkezi
Microsoft, Windows 11 Yönetici Koruma özelliğinin testini genişletir
Yeni UEFI Güvenli Önyükleme Kususu Sistemleri Bootkits'e Durur, Şimdi Yama
Microsoft, Ekim ayında Windows 10'daki ofis uygulamaları için desteği bitiriyor
Kaynak: Bleeping Computer