Microsoft a annoncé mercredi qu’il étendait ses capacités de journalisation dans le cloud pour aider les organisations à enquêter sur les incidents de cybersécurité et à gagner en visibilité après avoir fait l’objet de critiques à la suite d’une récente campagne d’espionnage visant son infrastructure de messagerie.
Le géant de la technologie a déclaré qu’il effectuait le changement en réponse directe à la fréquence et à l’évolution croissantes des cybermenaces des États-nations. Il devrait être déployé à partir de septembre 2023 pour tous les clients gouvernementaux et commerciaux.
« Au cours des prochains mois, nous inclurons l’accès à des journaux de sécurité cloud plus larges pour nos clients du monde entier sans frais supplémentaires », a déclaré Vasu Jakkal, vice-président de la sécurité, de la conformité, de l’identité et de la gestion chez Microsoft, a dit. « Au fur et à mesure que ces changements entrent en vigueur, les clients peuvent utiliser Microsoft Purview Audit pour visualiser de manière centralisée davantage de types de données de journaux cloud générées dans leur entreprise. »
Dans le cadre de ce changement, les utilisateurs devraient avoir accès à des journaux détaillés d’accès aux e-mails et à plus de 30 autres types de données de journal auparavant uniquement disponibles au niveau de l’abonnement Microsoft Purview Audit (Premium). En plus de cela, le fabricant de Windows a déclaré qu’il étendait la période de conservation par défaut pour les clients Audit Standard de 90 jours à 180 jours.
L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a salué cette décision, indiquant « Avoir accès aux données de journalisation clés est important pour atténuer rapidement les cyber-intrusions » et qu’il s’agit « d’un pas en avant significatif vers l’avancement des principes de sécurité par la conception ».
Le développement intervient à la suite de divulgations qu’un acteur menaçant opérant depuis la Chine, surnommé Storm-0558, a violé 25 organisations en exploitant une erreur de validation dans l’environnement Microsoft Exchange.
Le département d’État américain, qui faisait partie des entités concernées, a déclaré qu’il était en mesure de détecter l’activité de boîte aux lettres malveillante en juin 2023 grâce à une journalisation améliorée dans Microsoft Purview Audit, en utilisant spécifiquement le Éléments de courrier accédés action d’audit de boîte aux lettres, incitant Microsoft à enquêter sur l’incident.
Mais d’autres organisations concernées ont déclaré qu’elles n’étaient pas en mesure de détecter qu’elles avaient été piratées car elles n’étaient pas abonnées aux licences E5/A5/G5, qui offrent un accès élevé à divers types de journaux qui seraient cruciaux pour enquêter sur le piratage.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Les attaques montées par l’acteur auraient commencé le 15 mai 2023, bien que Redmond ait déclaré que l’adversaire avait affiché une propension aux applications OAuth, au vol de jetons et aux attaques par rejeu de jetons contre les comptes Microsoft depuis au moins août 2021.
Entre-temps, Microsoft continue de sonder les intrusions, mais à ce jour, la société n’a pas expliqué comment les pirates ont pu acquérir une clé de signature client inactive de compte Microsoft (MSA) pour falsifier des jetons d’authentification et obtenir un accès illicite aux comptes de messagerie des clients à l’aide d’Outlook Web Access dans Exchange Online (OWA) et Outlook.com.
« L’objectif de la plupart des campagnes Storm-0558 est d’obtenir un accès non autorisé aux comptes de messagerie appartenant aux employés des organisations ciblées », a révélé Microsoft la semaine dernière.
« Une fois que Storm-0558 a accès aux informations d’identification de l’utilisateur souhaité, l’acteur se connecte au compte de messagerie cloud de l’utilisateur compromis avec les informations d’identification de compte valides. L’acteur collecte ensuite les informations du compte de messagerie via le service Web. »