Microsoft a \u00e9tendu ses capacit\u00e9s de journalisation gratuite \u00e0 toutes les agences f\u00e9d\u00e9rales am\u00e9ricaines en utilisant Microsoft Purview Audit, quel que soit le niveau de licence, plus de six mois apr\u00e8s la r\u00e9v\u00e9lation d’une campagne de cyberespionnage li\u00e9e \u00e0 la Chine ciblant deux douzaines d’organisations.<\/p>\n
“Microsoft activera automatiquement les journaux dans les comptes clients et augmentera la p\u00e9riode de conservation par d\u00e9faut des journaux de 90 jours \u00e0 180 jours”, a d\u00e9clar\u00e9 l’Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA). dit<\/a>.<\/p>\n “En outre, ces donn\u00e9es fourniront une nouvelle t\u00e9l\u00e9m\u00e9trie pour aider davantage d’agences f\u00e9d\u00e9rales \u00e0 r\u00e9pondre aux exigences de journalisation impos\u00e9es par [Office of Management and Budget] M\u00e9morandum M-21-31<\/a>“.<\/p>\n Microsoft, en juillet 2023, a r\u00e9v\u00e9l\u00e9 qu’un groupe d’activit\u00e9s d’\u00c9tat-nation bas\u00e9 en Chine, connu sous le nom de Storm-0558, avait obtenu un acc\u00e8s non autoris\u00e9 \u00e0 environ 25 entit\u00e9s aux \u00c9tats-Unis et en Europe, ainsi qu’\u00e0 un petit nombre de comptes de consommateurs individuels associ\u00e9s.<\/p>\n “Storm-0558 fonctionne avec un haut degr\u00e9 de savoir-faire technique et de s\u00e9curit\u00e9 op\u00e9rationnelle”, a not\u00e9 la soci\u00e9t\u00e9. “Les acteurs sont parfaitement conscients de l’environnement de la cible, des politiques de journalisation, des exigences d’authentification, des politiques et des proc\u00e9dures.”<\/p>\n La campagne aurait d\u00e9but\u00e9 en mai 2023, mais n’a \u00e9t\u00e9 d\u00e9tect\u00e9e qu’un mois plus tard apr\u00e8s qu’une agence f\u00e9d\u00e9rale am\u00e9ricaine, r\u00e9v\u00e9l\u00e9e plus tard \u00eatre le D\u00e9partement d’\u00c9tat, ait d\u00e9couvert une activit\u00e9 suspecte dans des journaux d’audit non classifi\u00e9s de Microsoft 365 et l’ait signal\u00e9e \u00e0 Microsoft.<\/p>\n La violation a \u00e9t\u00e9 d\u00e9tect\u00e9e en tirant parti de la journalisation am\u00e9lior\u00e9e dans Microsoft Purview Audit, en utilisant sp\u00e9cifiquement le Action d\u2019audit de bo\u00eete aux lettres MailItemsAccessed<\/a> qui est g\u00e9n\u00e9ralement disponible pour les abonn\u00e9s Premium.<\/p>\n Le fabricant de Windows a par la suite reconnu qu’une erreur de validation dans son code source permettait \u00e0 Storm-0558 de falsifier des jetons Azure Active Directory (Azure AD) \u00e0 l’aide d’une cl\u00e9 de signature de consommateur de compte Microsoft (MSA), puis de les utiliser pour p\u00e9n\u00e9trer dans les bo\u00eetes aux lettres.<\/p>\n On estime que les attaquants ont vol\u00e9 au moins 60 000 e-mails non classifi\u00e9s provenant de comptes Outlook appartenant \u00e0 des responsables du D\u00e9partement d’\u00c9tat en poste en Asie de l’Est, dans le Pacifique et en Europe, selon Reuters. signal\u00e9<\/a> en septembre 2023. P\u00e9kin a ni\u00e9 ces all\u00e9gations.<\/p>\n Il a \u00e9galement fait l’objet d’un examen minutieux pour avoir refus\u00e9 des capacit\u00e9s de journalisation de base, mais cruciales, aux entit\u00e9s b\u00e9n\u00e9ficiant du plan E5 ou G5, plus co\u00fbteux, ce qui a incit\u00e9 l’entreprise \u00e0 apporter des modifications.<\/p>\n “Nous reconnaissons l’importance vitale que joue la journalisation avanc\u00e9e pour permettre aux agences f\u00e9d\u00e9rales de d\u00e9tecter, de r\u00e9pondre et de pr\u00e9venir m\u00eame les cyberattaques les plus sophistiqu\u00e9es \u00e9manant d’acteurs bien financ\u00e9s et parrain\u00e9s par l’\u00c9tat”, a d\u00e9clar\u00e9 Candice Ling de Microsoft. “Pour cette raison, nous collaborons \u00e0 travers le gouvernement f\u00e9d\u00e9ral pour fournir un acc\u00e8s aux journaux d’audit avanc\u00e9s.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Microsoft-etend-les-capacites-de-journalisation-gratuites-a-toutes-les.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n