Microsoft, dünya çapındaki müşterileri için ek bulut günlük verilerine erişimi hiçbir ek ücret ödemeden genişleterek, ihlal edilen ağların ve hesapların daha kolay tespit edilmesini sağlıyor.
Bu daha geniş kullanılabilirlik, Çinli bilgisayar korsanlarının e-posta çalmak için kurumsal ve devlet Microsoft Exchange ve Microsoft 365 hesaplarını ihlal etmelerine olanak tanıyan bir Microsoft imzalama anahtarını çalmasından sonra gelir.
Anahtarın nasıl çalındığı henüz bilinmezken, bu saldırıları ilk tespit eden ABD hükümeti, Microsoft’un gelişmiş loglama verilerini kullanarak izinsiz girişleri tespit edip Microsoft’a bildirdi.
Tarihsel olarak, bu gelişmiş günlük kaydı özellikleri tüm Microsoft müşterileri için mevcut değildi, yalnızca Microsoft’un Purview Denetimi (Premium) günlük kaydı özelliği lisansları için ödeme yapanlar tarafından kullanılabiliyordu.
Bu nedenle Microsoft, kuruluşların gelişmiş saldırıları hızlı bir şekilde tespit edebilmesi için bu ek günlük verilerini ücretsiz olarak sağlamadığı için geniş çapta eleştirildi.
CISA Siber Güvenlik Direktör Yardımcısı Eric Goldstein, “Tedarikçiler belirli bulut lisanslama seviyelerinde daha geniş günlük kaydı erişimi sunabilse de, bu yaklaşım izinsiz girişlerin araştırılmasını zorlaştırıyor” dedi.
“Kuruluşlardan gerekli günlük kaydı için daha fazla ödeme yapmalarını istemek, siber güvenlik olaylarını soruşturmada yetersiz görünürlük için bir reçetedir ve düşmanların Amerikan kuruluşlarını hedef almada tehlikeli düzeyde başarı elde etmesine izin verebilir.”
Herkes için gelişmiş günlük kaydı
Bugün, daha yaygın olarak CISA olarak bilinen ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi, tüm Microsoft müşterileri için ücretsiz olarak dahil edilmesi gereken kritik günlük kaydı veri noktalarını belirlemek için Microsoft ile birlikte çalıştığını duyurdu.
Bu tartışmalar ve muhtemelen son saldırılar nedeniyle Microsoft, premium bulut günlüğüne erişimi tüm müşterilere ücretsiz olarak genişlettiklerini ve Eylül 2023’te daha fazlasının kullanıma sunulacağını söylüyor.
Microsoft, genişletilmiş günlük kaydıyla ilgili yeni bir gönderide, “Bugün Microsoft’un bulut günlüğü erişilebilirliğini ve esnekliğini daha da genişletiyoruz. Önümüzdeki aylarda, dünya çapındaki müşterilerimiz için hiçbir ek ücret ödemeden daha geniş bulut güvenlik günlüklerine erişimi dahil edeceğiz” dedi.
“Bu değişiklikler yürürlüğe girdikçe müşteriler, kuruluşları genelinde oluşturulan daha fazla türde bulut günlüğü verisini merkezi olarak görselleştirmek için Microsoft Purview Denetimini kullanabilir.”
Bu verilere erişmek için Microsoft müşterileri, e-posta erişiminin ayrıntılı günlüklerini ve daha önce yalnızca lisanslı müşterilere sunulan diğer 30 veri noktasını görmek için Microsoft Purview Denetimini (Standart) kullanabilir.
Microsoft ayrıca, Audit Standard müşterileri için varsayılan saklama süresini 90 günden 180 güne çıkardıklarını ve müşterilerin olay müdahale incelemeleri sırasında verilere daha fazla geçmiş erişimine olanak tanıdıklarını söylüyor.
Ancak bu, lisanslı kullanıcıların verilere daha fazla erişim, daha fazla API erişimi ve Microsoft’un yapay zeka destekli Intelligent Insights adli tıp aracına erişim elde etmesi nedeniyle Microsoft Purview Denetiminin (Premium) kullanımdan kaldırılacağı anlamına gelmez.
BleepingComputer, hangi yeni verilere ücretsiz olarak erişilebileceği hakkında daha fazla bilgi edinmek için Microsoft ile iletişime geçti ve bir yanıt alırsak makaleyi güncelleyecek.
CISA ve FBI ayrıca, tüm güvenlik ve e-posta yöneticileri için önerilen bir okuma olan, Outlook Online’ı hedefleyen APT etkinliğini izleme ve tespit etme konusunda bir kılavuz yayınladı.