Microsoft étend la conservation des journaux Purview Audit comme promis après que le groupe de piratage chinois Storm-0558 a violé des dizaines de comptes d’entreprise et gouvernementaux Exchange et Microsoft 365 en juillet.

La liste des organisations concernées comprenait des agences gouvernementales aux États-Unis et en Europe occidentale, avec les départements d’État et du commerce des États-Unis parmi eux.

Le Département d’État a révélé le mois dernier que les attaquants avaient volé au moins 60 000 e-mails provenant de comptes Outlook appartenant à des responsables en poste en Asie de l’Est, dans le Pacifique et en Europe.

Microsoft a révélé que le groupe de piratage avait utilisé une clé de signature grand public obtenue à partir d’un crash dump de Windows après avoir compromis le compte d’entreprise d’un ingénieur Microsoft. Cette clé a été utilisée pour pirater les comptes Exchange Online et Azure Active Directory (AD), leur donnant accès aux comptes de messagerie du gouvernement.

Les modifications apportées à la conservation des journaux d’audit annoncées aujourd’hui seront déployées auprès des clients Microsoft Purview Audit disposant de licences Standard dans les semaines à venir, en commençant par les clients d’entreprise ce mois-ci et les clients gouvernementaux en novembre.

« À partir d’octobre 2023, nous avons commencé à déployer des modifications pour étendre la conservation par défaut de 90 à 180 jours pour les journaux d’audit générés par les clients d’audit (Standard). Les titulaires de licence d’audit (Premium) continueront avec une durée par défaut d’un an et la possibilité de prolonger jusqu’à 10 ans, » dit Rudra Mitra, CVP de Microsoft Purview.

« Cette mise à jour aide toutes les organisations à minimiser les risques en augmentant l’accès aux données historiques d’activité des journaux d’audit, ce qui est essentiel pour enquêter sur l’impact d’un incident de violation de sécurité ou pour gérer un litige. »

Points de données de journalisation critiques pour tous

Sous la pression de la Cybersecurity and Infrastructure Security Agency (CISA), Microsoft a également accepté d’élargir gratuitement l’accès aux données de journalisation dans le cloud, ce qui aiderait les défenseurs des réseaux à identifier des tentatives de violation similaires à l’avenir.

Auparavant, ces capacités de journalisation étaient exclusivement accessibles aux clients disposant de licences payantes Purview Audit (Premium). Pour cette raison, Microsoft a été largement critiqué pour avoir entravé la capacité des organisations à détecter les attaques de Storm-0558.

À partir de décembre 2023, les clients Microsoft disposant de licences Purview Audit (Standard) devront également accéder à des journaux supplémentaires d’accès aux e-mails et à 30 autres événements Yammer/Viva Engage, Teams, Exchange et Sharepoint auparavant uniquement disponibles pour les clients disposant de licences Premium.

Les données de journalisation supplémentaires seront disponibles après un processus de déploiement par étapes. La dernière phase sera atteinte en septembre 2024, lorsque l’entreprise commencera à étendre les journaux d’activité de sécurité cloud pour Microsoft Exchange et SharePoint avec l’ajout des événements MailItemsAccessed, Send, SearchQueryInitiatedExchange et SearchQueryInitiatedSharepoint.

« Microsoft a travaillé en étroite collaboration avec CISA pour identifier ces journaux critiques et les inclure dans notre licence Microsoft Purview Audit (Standard) », a déclaré Mitra.

« Les titulaires d’une licence d’audit (Premium) continueront de bénéficier d’une conservation par défaut plus longue, d’un accès plus large aux données d’exportation, d’un accès API à bande passante plus élevée et de journaux enrichis par les informations intelligentes basées sur l’IA de Microsoft.