CISA a partagé des conseils aux agences gouvernementales et aux entreprises sur l’utilisation de journaux cloud étendus dans leurs locataires Microsoft 365 dans le cadre de leurs enquêtes médico-légales et de conformité.

Comme l’a expliqué l’agence de cybersécurité, ces nouvelles fonctionnalités de journalisation Microsoft Purview Audit (Standard) prennent en charge les opérations de cybersécurité de l’entreprise en fournissant un accès aux informations sur les événements critiques tels que le courrier envoyé, le courrier consulté et les recherches d’utilisateurs dans Exchange Online et SharePoint Online.

« Ces fonctionnalités permettent également aux organisations de surveiller et d’analyser des milliers d’opérations d’utilisateurs et d’administrateurs effectuées dans des dizaines de services et de solutions Microsoft », a déclaré CISA mercredi.

« Ces journaux fournissent une nouvelle télémétrie pour améliorer les capacités de chasse aux menaces pour la compromission des e-mails professionnels (BEC), les activités avancées de menace de l’État-nation et les scénarios possibles de risques internes », a ajouté l’agence.

Le manuel de 60 pages publié aujourd’hui comprend également des conseils sur la navigation dans les journaux étendus de Microsoft 365 et l’ingestion dans les systèmes Microsoft Sentinel et Splunk SIEM (Gestion des informations de sécurité et des événements).

Journaux étendus après la violation d’Exchange Online en 2023
Microsoft a étendu les capacités de journalisation gratuite pour tous les clients de Purview Audit standard (avec des licences E3 / G3 et supérieures) sous la pression de la CISA après avoir révélé en juillet 2023 qu’un piratage chinois suivi sous le nom de Storm-0558 avait volé des courriels appartenant à de hauts responsables gouvernementaux des départements d’État et du Commerce dans une faille Exchange Online entre mai et juin 2023.

Les auteurs de la menace ont utilisé une clé de compte Microsoft (MSA) volée dans un vidage sur incident Windows en avril 2021 pour falsifier des jetons d’authentification, ce qui leur a donné accès à des comptes de messagerie ciblés via Outlook.com et Outlook Web Access dans Exchange Online (OWA).

Alors que les attaquants ont pour la plupart échappé à la détection, le Centre des opérations de sécurité (SOC) du Département d’État a détecté l’activité malveillante à l’aide d’un « outil de détection interne » avec accès à une journalisation améliorée dans le cloud (c’est-à-dire des événements accessibles aux éléments de messagerie).

Cependant, ces fonctionnalités de journalisation (en particulier les événements MailItemsAccessed avec ClientAppID et AppID inattendus) n’étaient disponibles que pour les clients disposant des licences de journalisation Purview Audit (Premium) de Microsoft. Cela a conduit à de nombreuses critiques de l’industrie à l’encontre de Redmond pour avoir empêché les organisations de détecter rapidement les attaques de Storm-0558.

Des mois après la violation, des responsables du Département d’État ont révélé que les pirates chinois avaient volé plus de 60 000 courriels des comptes Outlook des responsables du département après avoir violé la plate-forme de messagerie en ligne Exchange basée sur le cloud de Microsoft.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *