En människorättsorganisation varnades av Microsoft om att den utsattes för intrång som en del av en E-postintrång i juli tillskrivet Storm-0558, men organisationen kunde inte hitta några bevis på kompromiss i sina loggar. Varför? Det betalade inte Microsoft en premie för en licens på E5-nivå.
Det är historien som Steven Adair med Volexity tog till Twitter för att berätta och lyfte fram bristande tillgång till loggning för de allra flesta Microsoft-kunder som inte har E3-licenser.
"Den här incidenten var en riktig huvudskrapa för oss", skrev Adair. "Undersöker incidenter och misstänkt aktivitet i Microsoft 365 och Azure AD är något vi (på Volexity) gör ofta. Men trots ett meddelande från Microsoft om obehörig åtkomst kunde vi inte hitta några bekräftande bevis.”
Problemet? Volexity-teamet hade inte tillgång till loggbevisen med människorättsorganisationens E3-licens.
"Det visade sig att angriparen fick åtkomst till e-postmeddelanden och denna aktivitetsnivå loggades till operationen "MailItemsAccessed", tillade han. "Men generellt sett är denna loggoperation inte tillgänglig för E3-licenser och krävde ytterligare loggning tillgänglig endast från dyrare E5/G5-planer."
Adair noterade att e-postloggning borde vara tabellinsats med tanke på hotbilden, vilket framgår av CISA:s 12 juli vägledning för att upptäcka aktivitet på APT-nivå som rekommenderar möjliggör premium loggning på E5-nivå. Ändå, enligt Microsoft, an Office 365 E3-licens kör $23 per användare, per månad, medan E5 kostar $38 per användare, per månad, vilket Adair påpekade är oöverkomligt för många organisationer.
Microsoft svarade inte omedelbart på Dark Readings begäran om kommentar.
Microsofts pågående "loggningsskatt"
Medan den senaste Storm-0558 brott belyser dataskillnaderna mellan cybersäkerhets "har" som har råd med en E5-licens, och de som "inte har", som människorättsgruppen som riktar sig till, är problemet inte nytt, enligt cybersäkerhetsexperten Jake Williams. Men Microsoft kan snart känna sig pressad att göra något åt det i kölvattnet av den senaste kampanjen, som också påverkade 25 amerikanska federala myndigheter.
"Den förbättrade loggningen som endast är tillgänglig med en E5-licens (eller Security and Compliance-tilläggslicensen med E3) har varit en nagel i ögonen på incidentbekämpare och intrångscoacher i flera år", förklarar Williams till Dark Reading. "Organisationer som drabbats av en BEC (business email compromise) förväntar sig att kunna se vilka meddelanden hotaktören såg men kan inte utan den förbättrade loggningen."
Han tillägger att det i vissa fall också kan finnas avvikelser i vad som är tillgängligt per konto: "En organisation kanske bara har E5-licenser på vissa konton, vilket leder till bristande konsekvens i vilka aktiviteter de kan se på ett per-konto grund."
Williams betonar att premiumloggar ensamma inte skulle ha upptäckt Storm-0558s skadliga aktivitet med specificitet. Icke desto mindre förklarade Volexitys Adair att "hela den här operationen avslöjades av en FCEB-byrå [på grund av] onormal aktivitet relaterad till MailItemsAccessed loggverksamhet", och som sådan förväntar sig Williams inte att Microsoft ska kunna undvika granskning av dess loggningstillägg. fram.
"Det borde inte finnas en avverkningsskatt, särskilt för något så grundläggande som e-post," tillägger Williams. "Jag misstänker att Microsofts chefer kommer att svara på några riktigt obekväma frågor vid kongressutfrågningar som ännu inte har planerats om detta."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/remote-workforce/microsoft-logging-tax-hinders-incident-response
- : har
- :är
- :inte
- 12
- 25
- 7
- a
- Able
- Om Oss
- om det
- tillgång
- åtkomst
- Enligt
- Konto
- konton
- aktiviteter
- aktivitet
- Tillägg
- lagt till
- Annat
- Lägger
- byråer
- byrå
- ensam
- också
- an
- och
- vilken som helst
- AS
- At
- tillgänglig
- undvika
- grund
- BE
- BEC
- varit
- mellan
- brott
- företag
- företags e-postkompromiss
- men
- by
- Kampanj
- KAN
- kommentar
- Efterlevnad
- kompromiss
- Äventyras
- Kongress
- Kostar
- kunde
- couldn
- Kunder
- Cybersäkerhet
- mörkt
- Mörk läsning
- datum
- Trots
- detekterad
- do
- doesn
- donation
- grund
- e
- förbättrad
- speciellt
- bevis
- bevisas
- befattningshavare
- förvänta
- dyra
- expert
- experter
- förklarade
- Förklarar
- Federal
- Federala regeringen
- känna
- hitta
- För
- Framåt
- ofta
- från
- allmänhet
- ges
- kommer
- Regeringen
- Grupp
- vägleda
- Har
- he
- belysa
- höjdpunkter
- hindrar
- Träffa
- Men
- HTTPS
- humant
- mänskliga rättigheter
- i
- blir omedelbart
- in
- incident
- incidentrespons
- undersöker
- isn
- IT
- DESS
- jpg
- Juli
- Brist
- liggande
- senaste
- ledande
- Nivå
- Licens
- licenser
- Licens
- tycka om
- log
- inloggad
- skogsavverkning
- Majoritet
- många
- Maj..
- meddelanden
- Microsoft
- Månad
- mer
- Nya
- noterade
- anmälan
- of
- on
- pågående
- endast
- drift
- Verksamhet
- or
- organisation
- organisationer
- ut
- över
- del
- Betala
- för
- planer
- plato
- Platon Data Intelligence
- PlatonData
- Premium
- Problem
- frågor
- Läsning
- verklig
- verkligen
- senaste
- om
- relaterad
- begära
- Obligatorisk
- Svara
- respons
- rättigheter
- kör
- s
- granskning
- säkerhet
- se
- skall
- sida
- några
- något
- snart
- tala
- specificitet
- steven
- Historia
- sådana
- bord
- riktade
- skatt
- grupp
- tala
- den där
- Smakämnen
- deras
- Där.
- de
- detta
- Tagg
- de
- hot
- till
- tog
- vänder
- avtäckt
- us
- US Federal
- Användare
- Omfattande
- Vakna
- var
- we
- Vad
- som
- medan
- VEM
- Hela
- varför
- kommer
- Williams
- med
- utan
- skulle
- skrev
- år
- ännu
- zephyrnet