CISA, adli tıp ve uyumluluk araştırmalarının bir parçası olarak Microsoft 365 kiracılarında genişletilmiş bulut günlüklerini kullanma konusunda devlet kurumları ve kuruluşlar için kılavuz paylaştı.
Siber güvenlik kurumunun açıkladığı gibi, yeni tanıtılan bu Microsoft Purview Denetimi (Standart) günlük kaydı özellikleri, gönderilen postalar, erişilen postalar ve Exchange Online ve SharePoint Online’daki kullanıcı aramaları gibi kritik olaylarla ilgili bilgilere erişim sağlayarak kurumsal siber güvenlik operasyonlarını destekliyor.
CISA Çarşamba günü yaptığı açıklamada, “Bu yetenekler aynı zamanda kuruluşların düzinelerce Microsoft hizmet ve çözümünde gerçekleştirilen binlerce kullanıcı ve yönetici işlemini izlemesine ve analiz etmesine de olanak tanıyor.” dedi.
Ajans, “Bu günlükler, iş e-postası ihlali (BEC), gelişmiş ulus devlet tehdit faaliyetleri ve olası içeriden risk senaryolarına yönelik tehdit avlama yeteneklerini geliştirmek için yeni telemetri sağlıyor” diye ekledi.
Bugün yayınlanan 60 sayfalık başucu kitabı aynı zamanda Microsoft 365 içindeki genişletilmiş günlüklerde gezinme ve Microsoft Sentinel ve Splunk SIEM (Güvenlik Bilgileri ve Olay Yönetimi) sistemlerini kullanma konusunda rehberlik de içermektedir.
2023 Exchange Online ihlalinden sonra günlükler genişletildi
Microsoft, Temmuz 2023’te Çinli bir bilgisayar korsanının Storm-0558’in Eyalet ve Ticaret’ten üst düzey hükümet yetkililerine ait e-postaları çaldığını açıkladıktan sonra, CISA’nın baskısı altındaki tüm Purview Audit standart müşterileri (E3/G3 ve üstü lisanslara sahip) için ücretsiz günlük kaydı özelliklerini genişletti. Exchange Online’daki departmanlar çiğneme Mayıs ve Haziran 2023 arasında.
Tehdit aktörleri, Nisan 2021’de bir Windows kilitlenme dökümünden çalınan bir Microsoft hesabı (MSA) anahtarını kimlik doğrulama belirteçleri oluşturmak için kullandı. Bu onlara Outlook.com ve Exchange Online’daki Outlook Web Erişimi (OWA) aracılığıyla hedeflenen e-posta hesaplarına erişme olanağı sağladı.
Saldırganlar çoğunlukla tespit edilmekten kaçınırken, Dışişleri Bakanlığı’nın Güvenlik Operasyonları Merkezi (SOC), gelişmiş bulut günlüğe kaydetme erişimine sahip bir “şirket içi tespit aracı” (ör. MailItemsAccessed olayları) kullanarak kötü amaçlı etkinliği tespit etti.
Ancak, bu günlüğe kaydetme yetenekleri (özellikle beklenmedik ClientAppID ve AppID’ye sahip MailItemsAccessed olayları) yalnızca Microsoft’un Purview Audit (Premium) günlüğe kaydetme lisanslarına sahip müşteriler tarafından kullanılabiliyordu. Bu, kuruluşların Storm-0558’in saldırılarını derhal tespit etmesini engellediği için Redmond’un endüstri tarafından yaygın şekilde eleştirilmesine yol açtı.
İhlalden aylar sonra Dışişleri Bakanlığı yetkilileri, Çinli bilgisayar korsanlarının Microsoft’un bulut tabanlı Exchange Online e-posta platformunu ihlal ettikten sonra bakanlık yetkililerinin Outlook hesaplarından 60.000’den fazla e-postayı çaldığını açıkladı.