Une organisation de défense des droits de l'homme a été alertée par Microsoft qu'elle avait été compromise dans le cadre d'un Violation de courrier électronique de juillet attribuée à Storm-0558, mais l'organisation n'a trouvé aucune preuve de compromission dans ses journaux. Pourquoi? Il n'a pas payé de prime à Microsoft pour une licence de niveau E5.
C'est l'histoire que Steven Adair avec Volexity a racontée sur Twitter, soulignant le manque d'accès à la journalisation pour la grande majorité des clients Microsoft qui ne disposent pas de licences E3.
"Cet incident a été un véritable casse-tête pour nous", a écrit Adair. « Enquêter sur les incidents et les activités suspectes dans Microsoft 365 et les Entra ID est quelque chose que nous (chez Volexity) faisons fréquemment. Cependant, malgré une notification de Microsoft concernant un accès non autorisé, nous n'avons trouvé aucune preuve corroborante.
Le problème? L'équipe de Volexity n'a pas eu accès aux preuves de journalisation avec la licence E3 de l'organisation des droits de l'homme.
"Il s'avère que l'attaquant accédait aux e-mails et que ce niveau d'activité était enregistré dans l'opération" MailItemsAccessed "", a-t-il ajouté. "Cependant, d'une manière générale, cette opération de journalisation n'est pas disponible pour les licences E3 et nécessite une journalisation supplémentaire disponible uniquement à partir de plans E5/G5 plus chers."
Adair a noté que la journalisation des e-mails devrait être un enjeu de table compte tenu du paysage des menaces, comme en témoignent les directives de la CISA du 12 juillet pour détecter l'activité au niveau APT qui recommande activation de la journalisation premium de niveau E5. Pourtant, selon Microsoft, un Licence Office 365 E3 coûte 23 $ par utilisateur et par mois, tandis que l'E5 coûte 38 $ par utilisateur et par mois, ce qui, selon Adair, est prohibitif pour de nombreuses organisations.
Microsoft n'a pas immédiatement répondu à la demande de commentaire de Dark Reading.
La «taxe de journalisation» en cours de Microsoft
Alors que le récent Violation de la tempête-0558 met en évidence les écarts de données entre les « nantis » de la cybersécurité qui peuvent se permettre une licence E5, et ceux « n'ont pas », comme le groupe de défense des droits de l'homme ciblé, le problème n'est pas nouveau, selon l'expert en cybersécurité Jake Williams. Mais Microsoft pourrait bientôt se sentir obligé de faire quelque chose à la suite de cette dernière campagne, qui a également touché 25 agences du gouvernement fédéral américain.
"La journalisation améliorée disponible uniquement avec une licence E5 (ou la licence complémentaire de sécurité et de conformité avec E3) a été une épine dans le pied des intervenants en cas d'incident et des coachs de violation pendant des années", explique Williams à Dark Reading. "Les organisations frappées par un BEC (compromise de messagerie professionnelle) s'attendent à pouvoir voir les messages que l'auteur de la menace a consultés, mais ne le peuvent pas sans la journalisation améliorée."
Il ajoute que dans certains cas, il peut également y avoir des divergences sur ce qui est disponible par compte : "Une organisation peut n'avoir une licence E5 que sur certains comptes, ce qui entraîne un manque de cohérence dans les activités qu'elle peut voir sur un compte par compte. base."
Williams souligne que les journaux premium seuls n'auraient pas détecté l'activité malveillante de Storm-0558 avec précision. Néanmoins, Adair de Volexity a expliqué que "toute cette opération a été découverte par une agence FCEB [en raison] d'une activité anormale liée aux opérations de journalisation de MailItemsAccessed", et en tant que tel, Williams ne s'attend pas à ce que Microsoft puisse éviter un examen minutieux de sa surtaxe de journalisation. avant.
"Il ne devrait pas y avoir de taxe sur les journaux, en particulier pour quelque chose d'aussi fondamental que le courrier électronique", ajoute Williams. "Je soupçonne que les dirigeants de Microsoft répondront à des questions vraiment inconfortables lors d'audiences du Congrès qui n'ont pas encore été programmées à ce sujet."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/remote-workforce/microsoft-logging-tax-hinders-incident-response
- :possède
- :est
- :ne pas
- 12
- 25
- 7
- a
- Capable
- A Propos
- à propos de ça
- accès
- accès
- Selon
- Compte
- hybrides
- d'activités
- activité
- Choisir
- ajoutée
- Supplémentaire
- Ajoute
- agences
- agence
- seul
- aussi
- an
- et les
- tous
- AS
- At
- disponibles
- éviter
- base
- BE
- BEC
- était
- jusqu'à XNUMX fois
- violation
- la performance des entreprises
- compromis de messagerie commerciale
- mais
- by
- Campagne
- CAN
- commentaire
- conformité
- compromis
- Compromise
- Congrès
- Costs
- pourriez
- ne pouvait pas
- Clients
- Cybersécurité
- Foncé
- Lecture sombre
- données
- Malgré
- détecté
- do
- doesn
- Don
- deux
- emails
- améliorée
- notamment
- preuve
- mis en évidence
- cadres
- attendre
- cher
- expert
- de santé
- expliqué
- Explique
- National
- Gouvernement fédéral
- ressentir
- Trouvez
- Pour
- Avant
- fréquemment
- De
- généralement
- donné
- aller
- Gouvernement
- Réservation de groupe
- l'orientation
- Vous avez
- he
- Soulignant
- Faits saillants
- gêne
- Frappé
- Cependant
- HTTPS
- humain
- droits de l'homme
- i
- immédiatement
- in
- incident
- réponse à l'incident
- enquête
- ISN
- IT
- SES
- jpg
- Juillet
- Peindre
- paysage d'été
- Nouveautés
- conduisant
- Niveau
- Licence
- licences
- Licence
- comme
- enregistrer
- Connecté
- enregistrement
- Majorité
- de nombreuses
- Mai..
- messages
- Microsoft
- Mois
- PLUS
- Nouveauté
- noté
- déclaration
- of
- on
- en cours
- uniquement
- opération
- Opérations
- or
- organisation
- organisations
- ande
- plus de
- partie
- Payer
- /
- plans
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Premium
- Problème
- fréquemment posées
- en cours
- réal
- vraiment
- récent
- en ce qui concerne
- en relation
- nécessaire
- conditions
- Réagir
- réponse
- droits
- fonctionne
- s
- examen minutieux
- sécurité
- sur le lien
- devrait
- côté
- quelques
- quelque chose
- Bientôt
- parlant
- spécificité
- steven
- Histoire
- tel
- table
- des campagnes marketing ciblées,
- impôt
- équipe
- dire
- qui
- Le
- leur
- Là.
- l'ont
- this
- Épine
- ceux
- menace
- à
- a
- se tourne
- découvert
- us
- Fédéral américain
- Utilisateur
- Vaste
- Réveiller
- était
- we
- Quoi
- qui
- tout en
- WHO
- la totalité
- why
- sera
- Williams
- comprenant
- sans
- pourra
- écrit
- années
- encore
- zéphyrnet