Seçilmiş ABD federal kurumları Microsoft’un genişletilmiş bulut günlük kaydı yeteneklerini altı ay boyunca test ettikten sonra, Microsoft artık bunları lisans katmanından bağımsız olarak Microsoft Purview Audit’i kullanan tüm kurumların kullanımına sunuyor.
“Bu değişiklik, şu anda Microsoft Purview Audit Premium’a (E5/G5/Compliance Mini-Suite) erişimi olmayan devlet dairelerini ve kurumlarını etkileyecektir. Audit Premium’a sahip olanlar, daha yüksek bant genişliği ve API’ye öncelikli erişime ek olarak akıllı içgörüler ve daha uzun saklama süreleri gibi ek yeteneklere de sahip olacaklar,” diye açıkladı Microsoft’un Federal Güvenlik ekibinde kıdemli teknik uzman olan Casey Kahsen.
Genişletilmiş bulut günlük kaydı özellikleri
Microsoft, Çinli bilgisayar korsanlarının 25 kuruluş ve devlet kurumuna ait e-posta hesaplarına eriştiğini ortaya çıkardıktan sonra, genişletilmiş bulut günlüğü yeteneklerini ilk olarak Temmuz 2023’te duyurdu.
Saldırganlar, geçerli kimlik doğrulama belirteçleri oluşturmak ve hesaplara Exchange Online (OWA) ve Outlook.com’daki Outlook Web Erişimi aracılığıyla erişmek için bir belirteç doğrulama kusurundan yararlandı. İzinsiz giriş, bir ABD Federal Sivil Yürütme Organı kurumunun Microsoft 365 denetim günlüklerinde olağandışı bir etkinlik tespit etmesinden önce bir ay boyunca devam etti; bu durum, tehditlerin hızlı tespiti ve olaylara müdahale için siber güvenlik günlüklerinin hayati önemini vurguladı.
“CISA’nın Güvenli Tasarım kılavuzunda açıklandığı gibi, tüm teknoloji sağlayıcıları ‘müşterilere hiçbir ekstra ücret veya ek yapılandırma olmaksızın yüksek kaliteli denetim günlükleri’ sağlamalıdır. Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü yaptığı açıklamada, bugünkü duyurunun bu yönde atılmış bir adım olduğunu belirtti.
“Microsoft, müşteri hesaplarındaki günlükleri otomatik olarak etkinleştirecek ve varsayılan günlük saklama süresini 90 günden 180 güne çıkaracak. Ayrıca bu veriler, daha fazla federal kurumun OMB Memorandumu M-21-31 tarafından zorunlu kılınan kayıt gereksinimlerini karşılamasına yardımcı olacak yeni telemetri sağlayacak.”
Microsoft, verilerin iş e-postası ihlali (BEC), gelişmiş ulus devlet tehdit faaliyetleri ve hatta içeriden risk senaryolarına yönelik tehdit avlama yeteneklerini geliştireceğini söylüyor. “Yeni günlük kaydı yetenekleri artık devlet Microsoft M365 E3 müşterilerine, e-posta erişimiyle ilgili ayrıntılı günlüklere ilişkin öngörüler elde etme olanağı sunacak (üzerinden MailItemsErişildi) ve kullanıcının hem SharePoint hem de Exchange’de girdiği arama dizelerine (üzerinden Kullanıcı Arama Sorguları) yapılandırılmışsa.”
Çoğu ek günlük kaydı özelliği varsayılan olarak etkinleştirilecektir. İstisnalar şunlardır: SearchQueryInitiatedExchange Ve SearchQueryInitiatedSharePoint Kuruluşların kendilerini etkinleştirmesi gereken günlükler.
Microsoft ayrıca siber savunuculara eklenen günlük olaylarını, bunların adli soruşturma ve olay müdahalesi için nasıl kullanılabileceğini açıklamak ve onlara bu iki özel günlüğün nasıl etkinleştirileceği konusunda talimat vermek üzere bir taktik kitabı oluşturmak için CISA ile işbirliği yaptı.
“Son olarak, taktik kitap, devlet destekli en gelişmiş etkinliklerin bile tespit edilmesinde ek günlük tutma yeteneklerinden yararlanmak için tehdit aktörü davranışına dayalı bir yaklaşım sunuyor. Bu davranışlar arasında, her biri için hem proaktif hem de reaktif analitik metodolojiler sağlayan Kimlik Bilgisi Erişimi, Süzme ve Etki yer alır. Buna ek olarak, taktik kitabı siber savunuculara, senaryoda açıklanan tehdit aktörü davranışlarını tespit etmek için şablon olarak kullanılabilecek KQL tabanlı Gelişmiş Avcılık sorguları sağlıyor.” diye belirtti Kahsen.
Tüm müşterilere yavaş bir dağıtım
“Geçen yaz, Microsoft’un gerekli günlük kayıtlarını federal kurumların ve daha geniş siber güvenlik topluluğunun kullanımına sunma konusundaki kararlılığını görmekten memnuniyet duyduk. Bu hedefe doğru gerçek bir ilerleme kaydettiğimiz için mutluyum” dedi CISA Siber Güvenlikten Sorumlu Yönetici Direktör Yardımcısı Eric Goldstein.
Kahsen, “Federal müşterilerimize öncelik verdik ve şu anda bir E5 lisansından yararlanmayanların bu kayıt genişletmesini mümkün olduğunca hızlı bir şekilde almasını sağlamak için çalışıyoruz” dedi ve GCC, GCC-H’de kalan tüm müşterilerin, ve DoD ortamları önümüzdeki 30 gün içinde genişletilmiş günlük kaydı özelliklerine sahip olacak. Ancak dünya çapındaki tüm müşterilere daha fazla günlük kaydı sağlamanın zaman alacağını da sözlerine ekledi.