Microsoft étend l’accès à des données de journalisation cloud supplémentaires pour les clients du monde entier sans frais supplémentaires, ce qui permet une détection plus facile des réseaux et des comptes piratés.
Cette disponibilité plus large intervient après que des pirates chinois ont volé une clé de signature Microsoft qui leur a permis de violer les comptes Microsoft Exchange et Microsoft 365 des entreprises et du gouvernement pour voler des e-mails.
Bien qu’on ne sache toujours pas comment la clé a été volée, le gouvernement américain, qui a été le premier à détecter ces attaques, a utilisé les données de journalisation avancées de Microsoft pour détecter les intrusions et les signaler à Microsoft.
Historiquement, ces fonctionnalités de journalisation avancées n’étaient pas disponibles pour tous les clients Microsoft, mais uniquement pour ceux qui payaient des licences pour la fonction de journalisation Purview Audit (Premium) de Microsoft.
Pour cette raison, Microsoft a été largement critiqué pour ne pas fournir gratuitement ces données de journalisation supplémentaires afin que les organisations puissent détecter rapidement les attaques avancées.
« Alors que les fournisseurs peuvent offrir un accès plus large à la journalisation à des niveaux de licence cloud spécifiques, cette approche rend plus difficile l’investigation des intrusions », a expliqué Eric Goldstein, directeur adjoint exécutif de CISA pour la cybersécurité.
« Demander aux organisations de payer plus pour la journalisation nécessaire est une recette pour une visibilité insuffisante dans les enquêtes sur les incidents de cybersécurité et peut permettre aux adversaires d’avoir des niveaux dangereux de succès en ciblant les organisations américaines. »
Journalisation avancée pour tous
Aujourd’hui, la Cybersecurity and Infrastructure Security Agency des États-Unis, plus connue sous le nom de CISA, a annoncé qu’elle travaillait avec Microsoft pour identifier les points de données de journalisation critiques qui devraient être inclus gratuitement pour tous les clients Microsoft.
En raison de ces discussions, et probablement des récentes attaques, Microsoft déclare étendre gratuitement l’accès à la journalisation cloud premium à tous les clients, et d’autres seront disponibles en septembre 2023.
« Aujourd’hui, nous étendons encore plus l’accessibilité et la flexibilité de la journalisation dans le cloud de Microsoft. Au cours des prochains mois, nous inclurons l’accès à des journaux de sécurité cloud plus larges pour nos clients du monde entier sans frais supplémentaires », a déclaré Microsoft dans un nouveau message sur la journalisation étendue.
« Au fur et à mesure que ces changements entrent en vigueur, les clients peuvent utiliser Microsoft Purview Audit pour visualiser de manière centralisée davantage de types de données de journaux cloud générées dans leur entreprise. »
Pour accéder à ces données, les clients Microsoft peuvent utiliser Microsoft Purview Audit (Standard) pour voir les journaux détaillés de l’accès aux e-mails et 30 autres points de données auparavant uniquement disponibles pour les clients sous licence.
Microsoft indique qu’il augmente également la période de conservation par défaut pour les clients Audit Standard de 90 à 180 jours, permettant aux clients un meilleur accès historique aux données lors des enquêtes de réponse aux incidents.
Les trente et un nouveaux journaux standard qui étaient auparavant réservés à Premium sont répertoriés ci-dessous :
Cependant, cela ne signifie pas que Microsoft Purview Audit (Premium) va disparaître, les utilisateurs sous licence bénéficiant toujours d’un meilleur accès aux données, d’un meilleur accès aux API et d’un accès à l’outil d’investigation intelligente Intelligent Insights de Microsoft.
Breachtrace a contacté Microsoft pour en savoir plus sur les nouvelles données qui seront accessibles gratuitement et mettra à jour l’article si nous obtenons une réponse.
La CISA et le FBI ont également publié un guide sur la surveillance et la détection de l’activité APT ciblant Outlook Online, une lecture suggérée pour tous les administrateurs de sécurité et de messagerie.