Microsoft, müşterilerinin siber saldırıları tespit etmek için güvendiği birkaç haftalık bulut güvenliği günlüklerini kaybetti.
Ne oldu
Bu ayın başlarında Business Insider tarafından bildirildiği üzere Microsoft, etkilenen müşterilerini bu olaydan özel olarak haberdar etti ve onlara hatanın “herhangi bir güvenlik ihlaliyle ilgili olmadığını” söyledi.
Olay sonrası ön inceleme daha sonra kamuya açıklandı ve bunun nedeninin, dahili izleme aracısında tetiklenen bir hata olduğu ve ardından günlük toplama hizmetindeki bir hata için bir düzeltmenin kullanıma sunulduğu belirtildi.
“2 Eylül 2024 23:00 UTC civarında başlayarak, Microsoft’un dahili izleme aracılarından birindeki bir hata, günlük verilerini dahili günlük platformumuza yüklerken bazı aracılarda arızaya neden oldu. Bu, etkilenen Microsoft hizmetleri için kısmen eksik günlük verileriyle sonuçlandı.” dedi şirket.
Sorunun 5 Eylül’de tespit edilmesinden iki hafta sonra, şirketin mühendislik ekipleri soruna yönelik geçici ve kısmen etkili bir geçici çözüm sundu; bu çözüm, günlük toplama sürecini yeniden başlatmak için aracıyı veya sunucuyu düzenli aralıklarla yeniden başlatmaktan oluşuyordu.
Yine de bazı günlük verileri kaybolmuştur ve kurtarılamaz.
Hangi hizmetler etkilendi?
Olay, aşağıdaki hizmetlere ilişkin potansiyel olarak eksik günlüklerle sonuçlandı:
- Azure Logic Apps (platform günlükleri)
- Azure Healthcare API’leri (platform günlükleri)
- Microsoft Sentinel (güvenlik uyarıları)”
- Azure İzleyici (tanılama ayarları Azure İzleyici’ye yönlendirilir)
- Azure Güvenilir İmzalama (eksik SignTransaction ve SignHistory günlükleri)
- Azure Sanal Masaüstü (Application Insights’ta oturum açar)
- Power Platform (raporlar arasındaki veri tutarsızlıkları) ve
- Microsoft Entra (oturum açma günlükleri, etkinlik günlükleri).
Şirket, “Azure Monitor aracılığıyla Microsoft Sentinel, Microsoft Purview ve Microsoft Defender for Cloud dahil olmak üzere Microsoft Güvenlik ürünlerine akan giriş günlükleri de etkilendi” dedi. Bu potansiyel olarak kiracıların verileri analiz etme, tehditleri tespit etme veya güvenlik uyarıları oluşturma yeteneğini etkiledi.
Günlüklerin önemi
Günlük kaydı ve tam günlüklere sahip olmak, güvenlik ürünlerinin olması gerektiği gibi çalışması ve kurumsal savunucuların ve olay müdahale ekiplerinin işlerini yapabilmeleri için çok önemlidir.
Geçen yıl Çinli bilgisayar korsanlarının ABD kuruluşlarına ve devlet kurumlarına ait e-posta hesaplarına erişmeyi başarmasının ardından Microsoft, premium Microsoft Purview Audit hesapları olmayan müşterilere belirli bulut günlük kaydı özellikleri sağlamadığı için eleştirildi.
Bu günlüklere erişim, potansiyel olarak izinsiz girişin olduğundan daha erken tespit edilmesine yol açabilirdi. Olay, Microsoft’u, günlükleri Microsoft Purview Audit’i kullanan tüm kurumların kullanımına sunmaya (lisans katmanına bakılmaksızın) ve varsayılan günlük saklama süresini 90 günden 180 güne çıkarmaya itti.