Teacher
Professional
- Messages
- 2,670
- Reaction score
- 780
- Points
- 113
Microsoft расширила возможности бесплатного ведения журнала для всех федеральных агентств США, используя Microsoft Purview Audit, независимо от уровня лицензии, более чем через шесть месяцев после того, как обнаружилась связанная с Китаем кампания кибершпионажа, нацеленная на два десятка организаций.
"Microsoft автоматически включит журналы в учетных записях клиентов и увеличит срок хранения журналов по умолчанию с 90 до 180 дней", - заявило Агентство кибербезопасности и инфраструктурной безопасности США (CISA).
"Кроме того, эти данные предоставят новую телеметрию, которая поможет большему числу федеральных агентств выполнять требования к ведению журнала, установленные [Административно-бюджетным управлением] Меморандумом M-21-31".
В июле 2023 года компания Microsoft раскрыла, что базирующаяся в Китае группа по борьбе с государственной деятельностью, известная как Storm-0558, получила несанкционированный доступ примерно к 25 организациям в США и Европе, а также к небольшому количеству связанных с ними индивидуальных учетных записей пользователей.
"Storm-0558 работает с высокой степенью технического совершенства и операционной безопасности", - отметили в компании. "Действующие лица хорошо осведомлены об окружении цели, политиках ведения журнала, требованиях к аутентификации, политиках и процедурах".
Считается, что кампания началась в мае 2023 года, но обнаружена только месяц спустя после того, как федеральное агентство США, которое, как позже выяснилось, является Государственным департаментом, обнаружило подозрительную активность в несекретных журналах аудита Microsoft 365 и сообщило об этом Microsoft.
Нарушение было обнаружено с помощью расширенного ведения журнала в Microsoft Purview Audit, в частности с помощью действия MailItemsAccessed mailbox-auditing, которое обычно доступно для подписчиков Премиум-класса.
Впоследствии производитель Windows признал, что ошибка проверки в его исходном коде позволила Storm-0558 подделать токены Azure Active Directory (Azure AD) с использованием ключа подписи пользователя учетной записи Microsoft (MSA) и затем использовать их для проникновения в почтовые ящики.
По оценкам Reuters, сообщило в сентябре 2023 года, что злоумышленники украли по меньшей мере 60 000 несекретных электронных писем с учетных записей Outlook, принадлежащих чиновникам Госдепартамента, работающим в Восточной Азии, Тихоокеанском регионе и Европе. Пекин опроверг эти обвинения.
Компания также столкнулась с пристальной проверкой на предмет предоставления базовых, но важных возможностей ведения журнала организациям, использующим более дорогие планы E5 или G5, что побудило компанию внести изменения.
"Мы признаем жизненно важное значение расширенного ведения журнала, позволяющего федеральным агентствам обнаруживать, реагировать и предотвращать даже самые изощренные кибератаки со стороны хорошо обеспеченных ресурсами субъектов, спонсируемых государством", - заявила Кэндис Линг из Microsoft. "По этой причине мы сотрудничаем с федеральным правительством, чтобы предоставить доступ к расширенным журналам аудита".
"Microsoft автоматически включит журналы в учетных записях клиентов и увеличит срок хранения журналов по умолчанию с 90 до 180 дней", - заявило Агентство кибербезопасности и инфраструктурной безопасности США (CISA).
"Кроме того, эти данные предоставят новую телеметрию, которая поможет большему числу федеральных агентств выполнять требования к ведению журнала, установленные [Административно-бюджетным управлением] Меморандумом M-21-31".
В июле 2023 года компания Microsoft раскрыла, что базирующаяся в Китае группа по борьбе с государственной деятельностью, известная как Storm-0558, получила несанкционированный доступ примерно к 25 организациям в США и Европе, а также к небольшому количеству связанных с ними индивидуальных учетных записей пользователей.
"Storm-0558 работает с высокой степенью технического совершенства и операционной безопасности", - отметили в компании. "Действующие лица хорошо осведомлены об окружении цели, политиках ведения журнала, требованиях к аутентификации, политиках и процедурах".
Считается, что кампания началась в мае 2023 года, но обнаружена только месяц спустя после того, как федеральное агентство США, которое, как позже выяснилось, является Государственным департаментом, обнаружило подозрительную активность в несекретных журналах аудита Microsoft 365 и сообщило об этом Microsoft.
Нарушение было обнаружено с помощью расширенного ведения журнала в Microsoft Purview Audit, в частности с помощью действия MailItemsAccessed mailbox-auditing, которое обычно доступно для подписчиков Премиум-класса.
Впоследствии производитель Windows признал, что ошибка проверки в его исходном коде позволила Storm-0558 подделать токены Azure Active Directory (Azure AD) с использованием ключа подписи пользователя учетной записи Microsoft (MSA) и затем использовать их для проникновения в почтовые ящики.
По оценкам Reuters, сообщило в сентябре 2023 года, что злоумышленники украли по меньшей мере 60 000 несекретных электронных писем с учетных записей Outlook, принадлежащих чиновникам Госдепартамента, работающим в Восточной Азии, Тихоокеанском регионе и Европе. Пекин опроверг эти обвинения.
Компания также столкнулась с пристальной проверкой на предмет предоставления базовых, но важных возможностей ведения журнала организациям, использующим более дорогие планы E5 или G5, что побудило компанию внести изменения.
"Мы признаем жизненно важное значение расширенного ведения журнала, позволяющего федеральным агентствам обнаруживать, реагировать и предотвращать даже самые изощренные кибератаки со стороны хорошо обеспеченных ресурсами субъектов, спонсируемых государством", - заявила Кэндис Линг из Microsoft. "По этой причине мы сотрудничаем с федеральным правительством, чтобы предоставить доступ к расширенным журналам аудита".
