{"id":283944,"date":"2023-07-20T00:01:00","date_gmt":"2023-07-19T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283944"},"modified":"2023-09-18T15:49:30","modified_gmt":"2023-09-18T13:49:30","slug":"microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/20\/microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit\/","title":{"rendered":"Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit"},"content":{"rendered":"

[English<\/a>]Und es bewegt sich doch, das Microsoft Universum. Auf Anregung der US-Sicherheitsbeh\u00f6rde CISA wird Microsoft seinen Kunden erweiterte Cloud-Protokollierungsfunktionen ohne zus\u00e4tzliche Kosten bereitstellen. Das soll die Cyberabwehr und die Reaktion auf Vorf\u00e4lle verbessern und ist eine Reaktion auf den erfolgreichen Angriff chinesischer Hacker (Storm-0558) auf Outlook Online-Konten, die nur durch solche Logging-Funktionen einer US-Beh\u00f6rde aufgefallen sind.<\/p>\n

<\/p>\n

Der\u00a0 Outlook Online-Konten-Hack<\/h2>\n

\"\"Einer mutma\u00dflich in China angesiedelten Hackergruppe, von Microsoft als Storm-0558 bezeichnet, war es im Juni 2023 gelungen, Zugang zu in der Microsoft Cloud gespeicherten E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu geh\u00f6ren auch Regierungsbeh\u00f6rden (US-Au\u00dfenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.<\/p>\n

Der Zugriff gelang mit einem Microsoft-Konto (MSA)-Kundenschl\u00fcssel, der benutzt wurde, um Token zu f\u00e4lschen. Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> dar\u00fcber berichtet und weitere Details im Beitrag Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a> nachgetragen.<\/p>\n

Im erstgenannten Blog-Beitrag hatte ich auf einen Bericht der CISA<\/a> (US Cybersecurity and Infrastructure Security Agency) verwiesen, der mehr Details offen legte. So hatte eine zivile Bundesbeh\u00f6rde (Federal Civilian Executive Branch, FCEB) im Juni 2023 verd\u00e4chtige Aktivit\u00e4ten in ihrer Microsoft 365 (M365) Cloud-Umgebung festgestellt.<\/p>\n

Konkret fielen der betreffenden Bundesbeh\u00f6rde MailItemsAccessed<\/em>-Ereignisse mit einer unerwarteten ClientAppID <\/em>und AppID <\/em>in den M365 Audit-Logs auf. Das Ereignis \"MailItemsAccessed\" wird erzeugt, wenn lizenzierte Benutzer auf Elemente in Exchange Online-Postf\u00e4chern \u00fcber ein beliebiges Verbindungsprotokoll von einem beliebigen Client zugreifen. Die betreffende Beh\u00f6rde erachtete diese Aktivit\u00e4t als verd\u00e4chtig, da die beobachtete AppId <\/em>normalerweise nicht auf Postf\u00e4cher in ihrer Umgebung zugreift, und meldete die Aktivit\u00e4t an Microsoft und die CISA.<\/p>\n

Es war also quasi ein Zufallsfund, weil die betreffende Bundesbeh\u00f6rde die erweiterte Protokollierung, insbesondere von MailItemsAccessed<\/em>-Ereignissen und einer etablierten Basislinie normaler Outlook-Aktivit\u00e4ten (z. B. erwartete AppID<\/em>) verwendete und so Verdacht sch\u00f6pfen konnte. Das MailItemsAccessed-<\/em>Ereignis erm\u00f6glicht die Erkennung von ansonsten schwer zu erkennenden feindlichen Aktivit\u00e4ten.<\/p>\n

Der Bericht der CISA<\/a> gibt an, dass andere logs die Aufdeckung wohl nicht erm\u00f6glicht h\u00e4tten. Die betreffende Bundesbeh\u00f6rde durfte eine erweiterte Protokollierung, auch bekannt als Purview Audit (Premium)-Protokollierung, zur \u00dcberwachung der Aktivit\u00e4ten in der Cloud und auf den E-Mail-Konten verwenden, wodurch diese Aktivit\u00e4ten aufzusp\u00fcren waren. Vor einigen Jahren haben es zwischen der US-Regierung und Microsoft einen gro\u00dfen \u00f6ffentlichen Streit wegen der Kosten f\u00fcr den Zugang zu Purview Audit (Premium) gegeben.<\/p>\n

Das Agreement zwischen CISA und Microsoft<\/h2>\n

Der Cybervorfall lie\u00df erstens Microsoft nicht gut aussehen, wie ich in den verlinkten Beitr\u00e4gen nachgezeichnet habe. Zudem wurde klar, dass Microsoft seinen Cloud-Kunden eine Purview Audit (Premium)-Protokollierung nur gegen Bares bereitstellte.<\/p>\n

\"CISA<\/p>\n

In obigem Tweet meldet die CISA einen Fortschritt in Sachen Cloud-Sicherheit, den Microsoft jetzt Kunden von Microsoft 365 erm\u00f6gliche. Im Beitrag CISA and Microsoft Partnership Expands Access to Logging Capabilities Broadly<\/a> erf\u00e4hrt die staunende \u00d6ffentlichkeit, das Microsoft sich arg bewegt hat.<\/p>\n

In der CISA-Verlautbarung hei\u00dft es, dass auf der Grundlage einer gemeinsamen Partnerschaft zwischen der Cybersecurity and Infrastructure Security Agency (CISA) und Microsoft viele Kunden nun einen Zugang zu erweiterten Cloud-Protokollierungsfunktionen ohne zus\u00e4tzliche Kosten erhalten. Dies soll die Cyberabwehr und die Reaktion auf Vorf\u00e4lle verbessern. Die Entscheidung von Microsoft sei ein bedeutender Schritt zur F\u00f6rderung der Grunds\u00e4tze des \"Security by Design\" und ein gutes Beispiel f\u00fcr eine effektive Partnerschaft, die zu einer besseren Cybersicherheit auf nationaler Ebene f\u00fchrt, hei\u00dft es in der CISA-Meldung<\/a>.<\/p>\n

Microsoft hat zum 19. Juli 2023 den Blog-Beitrag Chief information security officer collaborating with practitioners in a security operations center.<\/a> ver\u00f6ffentlicht, der die CISA-Meldung best\u00e4tigt. Durch die Verlagerung der IT-Anwendungen in die Cloud spielen aussagef\u00e4hige Protokolldaten eine wichtige Rolle bei der Reaktion auf Vorf\u00e4lle, wie oben skizziert.<\/p>\n

Eine zentralisierte Sicherheits\u00fcberwachung liefert einen detaillierten, \u00fcberpr\u00fcfbaren Einblick, wie verschiedene Identit\u00e4ten, Anwendungen und Ger\u00e4te auf die Cloud-Dienste eines Kunden zugreifen. Diese Protokolle selbst verhindern zwar keine Angriffe, aber sie k\u00f6nnen bei der digitalen Forensik und der Reaktion auf Vorf\u00e4lle n\u00fctzlich sein, wenn es darum geht, zu untersuchen, wie ein Eindringen stattgefunden haben k\u00f6nnte, z. B. wenn sich ein Angreifer als autorisierter Benutzer ausgibt.<\/p>\n

In den kommenden Monaten will Microsoft weltweit Cloud-Kunden den Zugang zu weiteren Cloud-Sicherheitsprotokollen ohne zus\u00e4tzliche Kosten erm\u00f6glichen. Sobald diese \u00c4nderungen in Kraft treten, k\u00f6nnen Kunden Microsoft Purview Audit nutzen, um mehr Arten von Cloud-Protokolldaten, die in ihrem Unternehmen generiert werden, zentral zu visualisieren, schreibt Microsoft im oben verlinkten Beitrag.<\/p>\n

Microsoft Purview Audit erm\u00f6glicht Kunden die zentrale Visualisierung von Cloud-Protokolldaten, die in im Unternehmen generiert werden. Dies hilft, effektiv auf Sicherheitsereignisse, forensische Untersuchungen, interne Ermittlungen und Compliance-Verpflichtungen zu reagieren. Tausende von Benutzer- und Verwaltungsvorg\u00e4ngen, die in Dutzenden von Microsoft 365-Diensten und -L\u00f6sungen durchgef\u00fchrt werden, werden in den vereinheitlichten Purview Audit-Protokollen der Kunden erfasst, aufgezeichnet und aufbewahrt.<\/p>\n

Gewerbliche und beh\u00f6rdliche Kunden mit E5\/G5-Lizenzen, die bereits Microsoft Purview Audit (Premium) nutzen, erhalten weiterhin Zugriff auf alle verf\u00fcgbaren Audit-Protokollierungsereignisse. Dies umfasst auch intelligenter Einblicke, die bei der Ermittlung des Umfangs potenzieller Kompromisse helfen, indem sie die Audit-Protokollsuche im Microsoft Purview Compliance-Portal und die Office 365 Management Activity API nutzen. Zu den zus\u00e4tzlichen Funktionen von Audit Premium geh\u00f6ren l\u00e4ngere Standardaufbewahrungszeitr\u00e4ume und Automatisierungsunterst\u00fctzung f\u00fcr den Import von Protokolldaten in andere Tools zur Analyse. Und das alles letztendlich als Konsequenz auf den oben skizzierten Sicherheitsvorfall.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2
\nPowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie<\/a> – Teil 3<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Und es bewegt sich doch, das Microsoft Universum. Auf Anregung der US-Sicherheitsbeh\u00f6rde CISA wird Microsoft seinen Kunden erweiterte Cloud-Protokollierungsfunktionen ohne zus\u00e4tzliche Kosten bereitstellen. Das soll die Cyberabwehr und die Reaktion auf Vorf\u00e4lle verbessern und ist eine Reaktion auf den erfolgreichen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,4328],"class_list":["post-283944","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283944"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283944\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}