Microsoft, Çinli Storm-0558 bilgisayar korsanlığı grubunun Temmuz ayında düzinelerce Exchange ve Microsoft 365 kurumsal ve devlet hesabını ihlal etmesinden sonra söz verdiği gibi Purview Audit günlük tutma süresini uzatıyor.
Etkilenen kuruluşların listesi, aralarında ABD Dışişleri ve Ticaret Bakanlıklarının da bulunduğu ABD ve Batı Avrupa bölgelerindeki devlet kurumlarını içeriyordu.
Dışişleri Bakanlığı geçen ay saldırganların Doğu Asya, Pasifik ve Avrupa’da görevli yetkililere ait Outlook hesaplarından en az 60.000 e-posta çaldığını açıklamıştı.
Microsoft, bilgisayar korsanlığı grubunun bir Microsoft mühendisinin kurumsal hesabını ele geçirdikten sonra Windows çökme dökümünden elde edilen bir tüketici imzalama anahtarını kullandığını açıkladı. Bu anahtar, Exchange Online ve Azure Active Directory (AD) hesaplarına sızmak ve onlara devlet e-posta hesaplarına erişim sağlamak için kullanıldı.
Bugün duyurulan denetim günlüklerinin tutulmasına ilişkin değişiklikler, bu ay kurumsal kiracılardan ve Kasım ayında kamu müşterilerinden başlamak üzere, önümüzdeki haftalarda Standart lisanslara sahip Microsoft Purview Audit müşterilerinin kullanımına sunulacaktır.
“Ekim 2023’ten itibaren, Denetim (Standart) müşterileri tarafından oluşturulan denetim günlükleri için varsayılan tutma süresini 90 günden 180 güne çıkaracak değişiklikleri uygulamaya başladık. Denetim (Premium) lisansı sahipleri bir yıllık temerrüt süresiyle devam edecek ve 10 yıla kadar uzatılabilir” dedi Microsoft Purview CVP’si Rudra Mitra.
“Bu güncelleme, bir güvenlik ihlali olayının etkisini araştırırken veya bir dava olayına uyum sağlarken kritik olan geçmiş denetim günlüğü etkinlik verilerine erişimi artırarak tüm kuruluşların riski en aza indirmesine yardımcı olur.”
Herkes için kritik günlük veri noktaları
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) baskısı altında Microsoft, bulut günlük verilerine erişimi ücretsiz olarak genişletmeyi de kabul etti; bu, ağ savunucularının gelecekte benzer ihlal girişimlerini belirlemesine yardımcı olacak.
Daha önce bu tür günlük kaydı yeteneklerine yalnızca ücretli Purview Audit (Premium) lisanslarına sahip müşteriler erişebiliyordu. Bu nedenle Microsoft, kuruluşların Storm-0558’in saldırılarını tespit etme yeteneklerini engellediği için yaygın eleştirilerle karşılaştı.
Aralık 2023’ten itibaren Purview Audit (Standart) lisanslarına sahip Microsoft müşterilerinin, daha önce yalnızca Premium lisanslara sahip müşterilerin kullanımına sunulan ek e-posta erişimi günlüklerine ve diğer 30 Yammer/Viva Engage, Teams, Exchange ve Sharepoint etkinliğine de erişmesi gerekecek.
Ekstra günlük verileri, aşamalı bir kullanıma sunma sürecinin ardından kullanıma sunulacaktır. Şirketin Microsoft Exchange ve SharePoint için bulut güvenliği etkinlik günlüklerini MailItemsAccessed, Send, SearchQueryInitiatedExchange ve SearchQueryInitiatedSharepoint olaylarının eklenmesiyle genişletmeye başlayacağı son aşamaya Eylül 2024’te ulaşılacak.
Mitra, “Microsoft, bu kritik günlükleri belirlemek ve bunları Microsoft Purview Denetim (Standart) lisansımıza dahil etmek için CISA ile yakın işbirliği içinde çalıştı” dedi.
“Denetim (Premium) lisansı sahipleri, daha uzun varsayılan saklama süresine, dışa aktarılan verilere daha geniş erişime, daha yüksek bant genişliğine sahip API erişimine ve Microsoft’un yapay zeka destekli akıllı içgörüleriyle zenginleştirilmiş günlüklere sahip olmaya devam edecek.”