Η CISA μοιράστηκε οδηγίες για κυβερνητικούς φορείς και επιχειρήσεις σχετικά με τη χρήση εκτεταμένων αρχείων καταγραφής cloud στους μισθωτές του Microsoft 365 ως μέρος των εγκληματολογικών ερευνών και των ερευνών συμμόρφωσης.
Όπως εξήγησε η υπηρεσία κυβερνοασφάλειας, αυτές οι νέες δυνατότητες καταγραφής του Microsoft Purview Audit (Standard) υποστηρίζουν τις επιχειρήσεις κυβερνοασφάλειας παρέχοντας πρόσβαση σε πληροφορίες σχετικά με κρίσιμα συμβάντα, όπως η αποστολή αλληλογραφίας, η πρόσβαση σε αλληλογραφία και οι αναζητήσεις χρηστών στο Exchange Online και το SharePoint Online.
“Αυτές οι δυνατότητες επιτρέπουν επίσης στους οργανισμούς να παρακολουθούν και να αναλύουν χιλιάδες λειτουργίες χρηστών και διαχειριστών που εκτελούνται σε δεκάδες υπηρεσίες και λύσεις της Microsoft.” είπε η CISA την Τετάρτη.
“Αυτά τα αρχεία καταγραφής παρέχουν νέα τηλεμετρία για τη βελτίωση των δυνατοτήτων αναζήτησης απειλών για συμβιβασμούς μέσω email για επιχειρήσεις (BEC), προηγμένες δραστηριότητες απειλών εθνικών κρατών και πιθανά σενάρια κινδύνου εσωτερικών πληροφοριών.” πρόσθεσε το πρακτορείο.
Ο Βιβλίο 60 σελίδων που εκδόθηκε σήμερα Περιλαμβάνει επίσης οδηγίες για την πλοήγηση στα διευρυμένα αρχεία καταγραφής στο Microsoft 365 και την απορρόφηση στα συστήματα Microsoft Sentinel και Splunk SIEM (Πληροφορίες ασφαλείας και Διαχείριση συμβάντων).
Τα αρχεία καταγραφής επεκτάθηκαν μετά την παραβίαση του Exchange Online το 2023
Η Microsoft επέκτεινε τις δυνατότητες δωρεάν καταγραφής για όλους τους τυπικούς πελάτες του Purview Audit (με άδειες E3/G3 και άνω) υπό την πίεση της CISA αφού αποκάλυψε τον Ιούλιο του 2023 ότι μια κινεζική πειρατεία που εντοπίστηκε ως Storm-0558 έκλεψε μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν σε ανώτερους κυβερνητικούς αξιωματούχους από το κράτος και το εμπόριο τμήματα σε ένα Exchange Online αθέτηση μεταξύ Μαΐου και Ιουνίου 2023.
Οι παράγοντες απειλών χρησιμοποίησαν ένα κλειδί λογαριασμού Microsoft (MSA) που κλάπηκε από μια ένδειξη crash των Windows τον Απρίλιο του 2021 για να δημιουργήσουν διακριτικά ελέγχου ταυτότητας, τα οποία τους έδωσαν πρόσβαση σε στοχευμένους λογαριασμούς email μέσω του Outlook.com και του Outlook Web Access στο Exchange Online (OWA).
Ενώ οι επιτιθέμενοι ως επί το πλείστον απέφευγαν τον εντοπισμό, το Κέντρο Επιχειρήσεων Ασφαλείας του Στέιτ Ντιπάρτμεντ (SOC) εντόπισε την κακόβουλη δραστηριότητα χρησιμοποιώντας ένα “εσωτερικό εργαλείο ανίχνευσης” με πρόσβαση σε βελτιωμένη καταγραφή στο cloud (δηλαδή συμβάντα MailItemsAccessed).
Ωστόσο, αυτές οι δυνατότητες καταγραφής (συγκεκριμένα συμβάντα MailItemsAccessed με απροσδόκητα ClientAppID και AppID) ήταν διαθέσιμες μόνο σε πελάτες με Έλεγχος Purview της Microsoft (Premium) άδειες υλοτομίας. Αυτό οδήγησε σε ευρεία κριτική του κλάδου στο Redmond επειδή εμποδίζει τους οργανισμούς να ανιχνεύουν έγκαιρα τις επιθέσεις του Storm-0558.
Μήνες μετά την παραβίαση, αξιωματούχοι του Στέιτ Ντιπάρτμεντ αποκάλυψαν ότι οι Κινέζοι χάκερ έκλεψαν πάνω από 60.000 email από τους λογαριασμούς Outlook των υπαλλήλων του τμήματος μετά την παραβίαση της πλατφόρμας ηλεκτρονικού ταχυδρομείου Exchange Online της Microsoft που βασίζεται στο cloud.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
