[English]Nach dem verheerenden Hack der Microsoft Cloud (Exchange Online- und Outlook-Konten wurden durch die Storm-0588 Gruppe kompromittiert) hatte der Anbieter bereits seinen vorher kostenpflichtigen Zugang zu den Audit-Protokollen von Microsoft Purview zur kostenlosen Nutzung durch Kunden freigegeben. Zum 18. Oktober 2023 hat Microsoft dann die erweiterte Audit-Protokollierung und Aufbewahrung in Microsoft Purview bekannt gegeben. Das soll für mehr Sicherheitstransparenz sorgen, wie der Hersteller schreibt.
Im Juli 2023 hatte Microsoft auf Druck der US-Sicherheitsbehörde den bisher kostenpflichtigen Zugang zur Audi-Protokollierung Purview Logging für eine kostenlose Nutzung durch seine Kunden freigegeben. Seit September 2023 ist die Zugang zu den Audit-Protokollen von Microsoft Purview für Kunden auf der ganzen Welt verfügbar.
Erweitertes Auditing mit Purview
Im Beitrag Expanding audit logging and retention within Microsoft Purview for increased security visibility vom 18. Oktober 2023 kündigt Microsoft weitere Neuerung an (Bleeping Computer ist das aufgefallen).
- Ab Oktober 2023 hat Microsoft damit begonnen, die Frist zur Aufbewahrung für Audit-Protokolle, die von Audit (Standard)-Kunden erstellt wurden, von 90 auf 180 Tage zu verlängern.
- Für Audit (Premium)-Lizenzinhaber gilt weiterhin die Standardaufbewahrung von einem Jahr mit der Option, sie auf bis zu 10 Jahre zu verlängern.
In den öffentlichen Microsoft Roadmaps ist detailliert aufgeführt, wann die Änderungen, beginnend für Unternehmenskunden weltweit, gefolgt von Behördenkunden, zur Aufbewahrung von Protokollen bestimmte Organisation erreichen werden.
Kunden mit Purview Audit (Standard)-Lizenzen sollen ab Dezember 2023 Zugriff auf zusätzliche Protokolle von E-Mail-Zugriffen und 30 weiteren Yammer/Viva Engage-, Teams-, Exchange- und Sharepoint-Ereignissen erhalten, die bisher nur für Kunden mit Premium-Lizenzen verfügbar waren.
Die zusätzlichen Logging-Daten sollen in einem gestaffelten Rollout-Prozess bereitgestellt werden, wobei die letzte Phase wird im September 2024 erreicht wird. Dann beginnt Microsoft damit, die Cloud-Sicherheitsaktivitätsprotokolle für Microsoft Exchange und SharePoint um die Ereignisse MailItemsAccessed, Send, SearchQueryInitiatedExchange und SearchQueryInitiatedSharepoint zu erweitern.
Dieser Schritt soll allen Organisationen helfen, Risiken zu minimieren, weil es Kunden ermöglicht, auf die von Purview aufgezeichneten Audit-Protokolldaten zuzugreifen, um bei Sicherheitsverletzungen oder bei Rechtsstreitigkeiten die Zugriffe auf Konten und Daten untersuchen und nachweisen zu können.
Microsoft Purview Logging
Microsoft Purview zeichnet täglich die Audit Logs tausender Benutzer- und Admin-Aktivitäten, die in Microsoft 365-Anwendungen stattfinden, auf. Autorisierte Administratoren können die Protokolle über das Microsoft Purview-Compliance-Portal durchsuchen und darauf zugreifen. Dies ermöglicht bei einer Kompromittierung von Konten den Umfang der Zugriffe zu bestimmen und Untersuchungen über eine Kompromittierung vorzunehmen. Inhaber von Audit- (Standard-) Lizenzen sollen in den nächsten Monaten auf weitere 30 Audit-Protokolle zugreifen können, die in der Microsofts Beitrag aufgeführt sind.
Hintergrund: Der Storm-0558-Hack
Hintergrund ist der Hack von Exchange Online- und Outlook-Konten durch die mutmaßlich chinesische Hackergruppe Storm-0558 im Mai 2023 – ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt berichtet. Der Hack wurde von Microsoft zum 11. Juli 2023 im Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email bekannt gegeben. Entdeckt wurde der Hack von einem Kunden (US-Außenministerium), nachdem diesem ungewöhnliche Zugriffe auf Konten aufgefallen waren. Eine Untersuchung war nur möglich, weil dieser Kunde vor der Entscheidung, Exchange Online einzusetzen, auf die kostenlose Bereitstellung von Purview bestanden hatte. Andere Kunden mussten den Audit-Zugriff auf die Purview Protokolldaten bezahlen.
Nach dem Vorfall machte die US-Cybersicherheitsbehörde CISA Druck, so dass Microsoft sich entschloss, den Audit-Zugriff auf die Purview Protokolldaten – zumindest in Basis-Varianten – kostenfrei bereitzustellen. Ich hatte im Blog-Beitrag Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit über diese Entscheidung berichtet. Das gesamte Desaster (im Grund ist die gesamte Microsoft Cloud samt allen Diensten und Apps als kompromittiert anzusehen) samt den Microsoft-Versäumnissen rund um den Storm-0558-Hack sind in den nachfolgend verlinkten Artikeln nachzulesen.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2
Als ich das laß lief es mir eiskalt den Rücken runter.
Warum – den Cloud-Glauben verloren? :-)