
CISA deelt richtlijnen voor uitgebreide logfunctionaliteiten van Microsoft
CISA heeft richtlijnen gedeeld voor overheidsinstanties en bedrijven over het gebruik van uitgebreide cloudlogs in hun Microsoft 365-omgevingen als onderdeel van hun forensische en nalevingsonderzoeken.
Zoals het cybersecurity-agentschap uitlegde, ondersteunen deze nieuw geïntroduceerde Microsoft Purview Audit (Standaard) logmogelijkheden ondernemingsbeveiligingsoperaties door toegang te bieden tot informatie over kritieke gebeurtenissen zoals verzonden e-mails, opengehaalde e-mails en gebruikerszoekopdrachten in Exchange Online en SharePoint Online.
“Deze mogelijkheden stellen organisaties ook in staat om duizenden gebruikers- en beheerdershandelingen in tientallen Microsoft-diensten en -oplossingen te monitoren en analyseren,” zei CISA op woensdag.
“Deze logs bieden nieuwe telemetrie om de mogelijkheden voor dreigingsopsporing te verbeteren voor zakelijke e-mailcompromittering (BEC), geavanceerde bedreigingsactiviteiten van staten en mogelijke insider-risicoscenario’s,” voegde het agentschap toe.
Het vandaag gepubliceerde 60-pagina’s tellende draaiboek bevat ook richtlijnen voor het navigeren door de uitgebreide logs binnen Microsoft 365 en het integreren ervan in Microsoft Sentinel en Splunk SIEM (Security Information and Event Management) systemen.
Uitgebreide logs na inbraak in Exchange Online in 2023
Microsoft heeft onder druk van CISA in juli 2023 de loggingmogelijkheden gratis uitgebreid voor alle klanten van Purview Audit standaard (met E3/G3-licenties en hoger) na de onthulling dat een Chinese hacker, bekend als Storm-0558, e-mails heeft gestolen van hoge overheidsfunctionarissen van de ministers van Buitenlandse Zaken en Handel in een inbraak op Exchange Online tussen mei en juni 2023.
De dreigingsactoren gebruikten een Microsoft account (MSA) sleutel, gestolen van een Windows-crashdump in april 2021, om authenticatietokens te vervalsen, waardoor ze toegang kregen tot gerichte e-mailaccounts via Outlook.com en Outlook Web Access in Exchange Online (OWA).
Hoewel de aanvallers grotendeels onder de radar bleven, detecteerde het Security Operations Center (SOC) van het ministerie van Buitenlandse Zaken de kwaadaardige activiteit met een “intern detectiehulpmiddel” met toegang tot verbeterde cloudlogging (d.w.z. MailItemsAccessed-evenementen).
Echter, deze loggingmogelijkheden (specifiek MailItemsAccessed-evenementen met onverwachte ClientAppID en AppID) waren alleen beschikbaar voor klanten met Microsofts Purview Audit (Premium) logginglicenties. Dit leidde tot wijdverspreide kritiek in de industrie op Redmond omdat ze organisaties hebben belemmerd om de aanvallen van Storm-0558 tijdig te detecteren.
Maanden na de inbraak onthulden functionarissen van het ministerie van Buitenlandse Zaken dat de Chinese hackers meer dan 60.000 e-mails hadden gestolen van Outlook-accounts van ministeriële functionarissen na het hacken van het cloudgebaseerde Exchange Online e-mailplatform van Microsoft.
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----