Storm-0558 Hack: Microsoft hat Purview Audit generell für US-Behörden seit Feb. 2024 freigegeben

[English]Nach dem verheerenden Hack der Microsoft Cloud (Exchange Online- und Outlook-Konten wurden durch die Storm-0588 Gruppe kompromittiert) musste das Unternehmen seinen vorher kostenpflichtigen Zugang zu den Audit-Protokollen von Microsoft Purview Audit zur kostenlosen Nutzung durch Kunden freigegeben. Nun wird Microsoft Purview Audit für alle US-Behörden kostenlos.


Anzeige

Microsoft Purview Audit für US-Behörden

In einer Mitteilung vom 21. Februar 2024 haben die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), das Office of Management and Budget (OMB), das Office of the National Cyber Director (ONCD) und Microsoft bekannt gegeben, das US-Bundesbehörden der zivilen Exekutive (FCEB) Zugangs zu den erforderlichen Protokollierungsfunktionen für die Microsoft Cloud bekommen. Dazu hat Microsoft in den vergangenen sechs Monaten eng mit CISA, OMB und ONCD zusammengearbeitet. Ziel war es, die erweiterte Protokollierung in einer Pilotgruppe von Behörden einzuführen.

Ab Februar 2024 wird die erweiterte Protokollierung über Microsoft Purview Audit allen Behörden, unabhängig von der gebuchten Microsoft Cloud-Lizenzstufe, zur Verfügung stehen.

Microsoft Purview zeichnet täglich die Audit Logs tausender Benutzer- und Admin-Aktivitäten, die in Microsoft 365-Anwendungen stattfinden, auf. Autorisierte Administratoren können die Protokolle über das Microsoft Purview-Compliance-Portal durchsuchen und darauf zugreifen. Dies ermöglicht bei einer Kompromittierung von Konten den Umfang der Zugriffe zu bestimmen und Untersuchungen über eine Kompromittierung vorzunehmen.

Hintergrund: Desaster Storm-0558 Hack

Hintergrund ist der Hack von Exchange Online- und Outlook-Konten durch die mutmaßlich chinesische Hackergruppe Storm-0558 im Mai 2023 – ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt berichtet. Der Hack wurde von Microsoft zum 11. Juli 2023 im Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email bekannt gegeben. Entdeckt wurde der Hack von einem Kunden (US-Außenministerium), nachdem diesem ungewöhnliche Zugriffe auf Konten aufgefallen waren.

Eine Untersuchung war nur möglich, weil dieser Kunde vor der Entscheidung, Exchange Online einzusetzen, auf die kostenlose Bereitstellung von Microsoft Purview Audit bestanden hatte. Andere Microsoft Cloud-Kunden mussten den Audit-Zugriff auf die Purview Protokolldaten bezahlen.


Anzeige

Nach dem Vorfall machte die US-Cybersicherheitsbehörde CISA Druck, so dass Microsoft sich entschloss, den Audit-Zugriff auf die Purview Protokolldaten – zumindest in Basis-Varianten – kostenfrei bereitzustellen. Ich hatte im Blog-Beitrag Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit über diese Entscheidung berichtet. Im Oktober 2023 wurde dann das Purview-Logging nochmals erweitert (siehe Microsoft erweitert Purview Logging (nach Storm-0558 Hack)). Für US-Behörden ist nun der Zugriff auf die erweiterten Log-Daten mittels Pureview Audit kostenfrei möglich.

CISA entwickelt Playbook

Im CISA-Leitfaden "Secure by Design" ist beschrieben, dass alle Technologieanbieter ihren Kunden "hochwertige Audit-Protokolle ohne zusätzliche Kosten oder zusätzliche Konfiguration" zur Verfügung stellen sollten. Die obige Ankündigung ist ein weiterer Schritt in diese Richtung. Microsoft wird die Protokolle in Kundenkonten von US-Behörden automatisch aktivieren und die standardmäßige Aufbewahrungsfrist für Protokolle von 90 auf 180 Tage erhöhen.

Darüber hinaus werden diese Daten neue Telemetriedaten liefern, die mehr Bundesbehörden dabei helfen, die im OMB Memorandum M-21-31 vorgeschriebenen Protokollierungsanforderungen zu erfüllen. Um US-Behörden zu unterstützen, die verfügbaren Protokolle effektiver zu nutzen, um Cyber-Bedrohungen zu erkennen und zu beseitigen, hat die CISA in enger Zusammenarbeit mit Microsoft ein neues Expanded Cloud Log Implementation Playbook entwickelt, das weitere Details zu jedem neu verfügbaren Protokoll enthält und zeigt, wie diese Protokolle zur Unterstützung der Bedrohungssuche und der Reaktion auf Vorfälle genutzt werden können.

Logging Playbook for Audit

Ergänzung: Gerade gesehen, dass es auch einen Techcommunity-Beitrag CISA, OMB, ONCD and Microsoft collaborate on new logging playbook for Federal agencies von Microsoft zum Thema gibt. Soll "bald" online gestellt werden. Offen ist für mich, wie sich Microsoft für EU-Kunden in dieser Hinsicht verhält – da habe ich noch nichts zu gelesen. (via)

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2


Anzeige

Dieser Beitrag wurde unter Cloud abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.