Een mensenrechtenorganisatie werd door Microsoft gewaarschuwd dat deze was gecompromitteerd als onderdeel van een E-maillek in juli toegeschreven aan Storm-0558, maar de organisatie kon geen enkel bewijs van een compromis vinden in hun logboeken. Waarom? Het betaalde Microsoft geen premie voor een licentie op E5-niveau.
Dat is het verhaal dat Steven Adair van Volexity op Twitter vertelde, met de nadruk op de gebrek aan toegang tot logboekregistratie voor de overgrote meerderheid van Microsoft-klanten die geen E3-licenties hebben.
"Dit incident was een echte kop-krabber voor ons", schreef Adair. โOnderzoek naar incidenten en verdachte activiteiten in Microsoft 365 en Azure AD is iets wat we (bij Volexity) vaak doen. Ondanks een melding van Microsoft over ongeautoriseerde toegang, konden we echter geen ondersteunend bewijs vinden.โ
Het probleem? Het Volexity-team had geen toegang tot het houtkapbewijs met de E3-licentie van de mensenrechtenorganisatie.
"Het bleek dat de aanvaller toegang had tot e-mails, en dit niveau van activiteit werd geregistreerd bij de operatie "MailItemsAccessed", voegde hij eraan toe. "Over het algemeen is deze logbewerking echter niet beschikbaar voor E3-licenties en is aanvullende logging alleen beschikbaar voor duurdere E5/G5-abonnementen."
Adair merkte op dat het loggen van e-mail op tafel zou moeten staan โโgezien het dreigingslandschap, zoals blijkt uit CISA's richtlijnen van 12 juli voor het detecteren van activiteiten op APT-niveau die aanbeveelt premium logboekregistratie op E5-niveau mogelijk maken. Toch, volgens Microsoft, an Office 365 E3-licentie loopt $ 23 per gebruiker, per maand, terwijl de E5 $ 38 per gebruiker, per maand kost, wat volgens Adair voor veel organisaties onbetaalbaar is.
Microsoft reageerde niet onmiddellijk op het verzoek om commentaar van Dark Reading.
Microsoft's lopende "Logging Tax"
Terwijl de recente Storm-0558 inbreuk benadrukt de gegevensverschillen tussen de 'haves' op het gebied van cyberbeveiliging die zich een E5-licentie kunnen veroorloven, en de 'have nots', zoals de mensenrechtengroep die het doelwit was, het probleem is niet nieuw, volgens cyberbeveiligingsexpert Jake Williams. Maar Microsoft kan zich binnenkort onder druk gezet voelen om er iets aan te doen in de nasleep van die laatste campagne, die ook 25 Amerikaanse federale overheidsinstanties trof.
"De verbeterde logging die alleen beschikbaar is met een E5-licentie (of de Security and Compliance add-on-licentie met E3) is al jaren een doorn in het oog van incidentresponders en inbraakcoaches", legt Williams uit aan Dark Reading. "Organisaties die worden getroffen door een BEC (zakelijke e-mailcompromis) verwachten te kunnen zien welke berichten de bedreigingsactor heeft bekeken, maar kunnen niet zonder de verbeterde logboekregistratie."
Hij voegt eraan toe dat er in sommige gevallen ook verschillen kunnen zijn in wat er per account beschikbaar is: โEen organisatie heeft mogelijk alleen E5-licenties voor sommige accounts, wat leidt tot een gebrek aan consistentie in de activiteiten die ze per account kunnen zien. basis."
Williams benadrukt dat premium logs alleen de schadelijke activiteiten van Storm-0558 niet specifiek zouden hebben gedetecteerd. Desalniettemin legde Adair van Volexity uit dat "deze hele operatie werd ontdekt door een FCEB-bureau [vanwege] afwijkende activiteit met betrekking tot door MailItems geraadpleegde logboekbewerkingen", en als zodanig verwacht Williams niet dat Microsoft in staat zal zijn om onderzoek naar de logboektoeslag te vermijden. vooruit.
"Er zou geen houtbelasting moeten zijn, vooral niet voor zoiets fundamenteels als e-mail", voegt Williams eraan toe. "Ik vermoed dat leidinggevenden van Microsoft een aantal echt ongemakkelijke vragen zullen beantwoorden tijdens nog te plannen congreshoorzittingen hierover."
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/remote-workforce/microsoft-logging-tax-hinders-incident-response
- : heeft
- :is
- :niet
- 12
- 25
- 7
- a
- in staat
- Over
- over het
- toegang
- toegang
- Volgens
- Account
- accounts
- activiteiten
- activiteit
- Toevoegen
- toegevoegd
- Extra
- Voegt
- agentschappen
- agentschap
- alleen
- ook
- an
- en
- elke
- AS
- At
- Beschikbaar
- vermijd
- basis
- BE
- BEC
- geweest
- tussen
- overtreding
- bedrijfsdeskundigen
- compromis zakelijke e-mail
- maar
- by
- Campagne
- CAN
- commentaar
- nakoming
- compromis
- Aangetast
- Congressional
- Kosten
- kon
- couldn
- Klanten
- Cybersecurity
- Donker
- Donkere lezing
- gegevens
- Niettegenstaande
- gedetecteerd
- do
- doesn
- don
- twee
- e-mails
- verbeterde
- vooral
- bewijzen
- blijkt
- leidinggevende
- verwachten
- duur
- expert
- deskundigen
- uitgelegd
- Verklaart
- Federaal
- Federale overheid
- voelen
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voor
- Naar voren
- vaak
- oppompen van
- algemeen
- gegeven
- gaan
- Overheid
- Groep
- leiding
- Hebben
- he
- markeren
- highlights
- hindert
- Hit
- Echter
- HTTPS
- menselijk
- rechten van de mens
- i
- per direct
- in
- incident
- incident reactie
- onderzoeken
- isn
- IT
- HAAR
- jpg
- juli-
- Gebrek
- Landschap
- laatste
- leidend
- Niveau
- Vergunning
- licenties
- Licenties
- als
- inloggen
- ingelogd
- logging
- Meerderheid
- veel
- Mei..
- berichten
- Microsoft
- Maand
- meer
- New
- bekend
- notificatie
- of
- on
- lopend
- Slechts
- operatie
- Operations
- or
- organisatie
- organisaties
- uit
- over
- deel
- Betaal
- voor
- plannen
- Plato
- Plato gegevensintelligentie
- PlatoData
- Premium
- probleem
- Contact
- lezing
- vast
- werkelijk
- recent
- met betrekking tot
- verwant
- te vragen
- nodig
- Reageren
- antwoord
- rechten
- loopt
- s
- nauwkeurig onderzoek
- veiligheid
- zien
- moet
- kant
- sommige
- iets
- binnenkort
- spreken
- specificiteit
- steven
- Verhaal
- dergelijk
- tafel
- doelgerichte
- belasting
- team
- vertellen
- dat
- De
- hun
- Er.
- ze
- dit
- Doorn
- die
- bedreiging
- naar
- nam
- wordt
- X
- ongedekt
- us
- Amerikaans federaal
- Gebruiker
- groot
- Wake
- was
- we
- Wat
- welke
- en
- WIE
- geheel
- Waarom
- wil
- Williams
- Met
- zonder
- zou
- schreef
- jaar
- nog
- zephyrnet