{"id":287349,"date":"2023-10-24T00:01:00","date_gmt":"2023-10-23T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=287349"},"modified":"2024-02-22T19:12:26","modified_gmt":"2024-02-22T18:12:26","slug":"microsoft-erweitert-purview-logging-nach-storm-0558-hack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/10\/24\/microsoft-erweitert-purview-logging-nach-storm-0558-hack\/","title":{"rendered":"Microsoft erweitert Purview Logging (nach Storm-0558 Hack)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/10\/24\/microsoft-extends-purview-logging-after-storm-0558-hack\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Nach dem verheerenden Hack der Microsoft Cloud (Exchange Online- und Outlook-Konten wurden durch die Storm-0588 Gruppe kompromittiert) hatte der Anbieter bereits seinen vorher kostenpflichtigen Zugang zu den Audit-Protokollen von Microsoft Purview zur kostenlosen Nutzung durch Kunden freigegeben. Zum 18. Oktober 2023 hat Microsoft dann die erweiterte Audit-Protokollierung und Aufbewahrung in Microsoft Purview bekannt gegeben. Das soll f\u00fcr mehr Sicherheitstransparenz sorgen, wie der Hersteller schreibt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/7e9ee1eaa3014cb4b08b3eba305c62e8\" alt=\"\" width=\"1\" height=\"1\" \/>Im Juli 2023 hatte Microsoft auf Druck der US-Sicherheitsbeh\u00f6rde den bisher kostenpflichtigen Zugang zur Audi-Protokollierung <em>Purview Logging <\/em>f\u00fcr eine kostenlose Nutzung durch seine Kunden freigegeben. Seit September 2023 ist die\u00a0 Zugang zu den Audit-Protokollen von Microsoft Purview\u00a0 f\u00fcr Kunden auf der ganzen Welt verf\u00fcgbar.<\/p>\n<h2>Erweitertes Auditing mit Purview<\/h2>\n<p>Im Beitrag <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/10\/18\/expanding-audit-logging-and-retention-within-microsoft-purview-for-increased-security-visibility\/\" target=\"_blank\" rel=\"noopener\">Expanding audit logging and retention within Microsoft Purview for increased security visibility<\/a> vom 18. Oktober 2023 k\u00fcndigt Microsoft weitere Neuerung an (Bleeping Computer ist das <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-extends-purview-audit-log-retention-after-july-breach\/\" target=\"_blank\" rel=\"noopener\">aufgefallen<\/a>).<\/p>\n<ul>\n<li>Ab Oktober 2023 hat Microsoft damit begonnen, die Frist zur Aufbewahrung f\u00fcr Audit-Protokolle, die von Audit (Standard)-Kunden erstellt wurden, von 90 auf 180 Tage zu verl\u00e4ngern.<\/li>\n<li>F\u00fcr Audit (Premium)-Lizenzinhaber gilt weiterhin die Standardaufbewahrung von einem Jahr mit der Option, sie auf bis zu 10 Jahre zu verl\u00e4ngern.<\/li>\n<\/ul>\n<p>In den \u00f6ffentlichen Microsoft Roadmaps ist detailliert aufgef\u00fchrt, wann die \u00c4nderungen, beginnend f\u00fcr <a href=\"https:\/\/www.microsoft.com\/en-us\/microsoft-365\/roadmap?filters=&amp;searchterms=171160\" target=\"_blank\" rel=\"noopener\">Unternehmenskunden<\/a> weltweit, gefolgt von <a href=\"https:\/\/www.microsoft.com\/en-us\/microsoft-365\/roadmap?filters=&amp;searchterms=171161\" target=\"_blank\" rel=\"noopener\">Beh\u00f6rdenkunden<\/a>, zur Aufbewahrung von Protokollen bestimmte Organisation erreichen werden.<\/p>\n<p>Kunden mit Purview Audit (Standard)-Lizenzen sollen ab Dezember 2023 Zugriff auf zus\u00e4tzliche Protokolle von E-Mail-Zugriffen und 30 weiteren Yammer\/Viva Engage-, Teams-, Exchange- und Sharepoint-Ereignissen erhalten, die bisher nur f\u00fcr Kunden mit Premium-Lizenzen verf\u00fcgbar waren.<\/p>\n<p>Die zus\u00e4tzlichen Logging-Daten sollen in einem gestaffelten Rollout-Prozess bereitgestellt werden, wobei die letzte Phase wird im September 2024 erreicht wird. Dann beginnt Microsoft damit, die Cloud-Sicherheitsaktivit\u00e4tsprotokolle f\u00fcr Microsoft Exchange und SharePoint um die Ereignisse <em>MailItemsAccessed, Send, SearchQueryInitiatedExchange<\/em> und <em>SearchQueryInitiatedSharepoint <\/em>zu erweitern.<\/p>\n<p>Dieser Schritt soll allen Organisationen helfen, Risiken zu minimieren, weil es Kunden erm\u00f6glicht, auf die von Purview aufgezeichneten Audit-Protokolldaten zuzugreifen, um bei Sicherheitsverletzungen oder bei Rechtsstreitigkeiten die Zugriffe auf Konten und Daten untersuchen und nachweisen zu k\u00f6nnen.<\/p>\n<h2>Microsoft Purview Logging<\/h2>\n<p>Microsoft Purview zeichnet t\u00e4glich die Audit Logs tausender Benutzer- und Admin-Aktivit\u00e4ten, die in Microsoft 365-Anwendungen stattfinden, auf. Autorisierte Administratoren k\u00f6nnen die Protokolle \u00fcber das Microsoft Purview-Compliance-Portal durchsuchen und darauf zugreifen. Dies erm\u00f6glicht bei einer Kompromittierung von Konten den Umfang der Zugriffe zu bestimmen und Untersuchungen \u00fcber eine Kompromittierung vorzunehmen. Inhaber von Audit- (Standard-) Lizenzen sollen in den n\u00e4chsten Monaten auf weitere 30 Audit-Protokolle zugreifen k\u00f6nnen, die in der <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/10\/18\/expanding-audit-logging-and-retention-within-microsoft-purview-for-increased-security-visibility\/\" target=\"_blank\" rel=\"noopener\">Microsofts Beitrag<\/a> aufgef\u00fchrt sind.<\/p>\n<h2>Hintergrund: Der Storm-0558-Hack<\/h2>\n<p>Hintergrund ist der Hack von Exchange Online- und Outlook-Konten durch die mutma\u00dflich chinesische Hackergruppe Storm-0558 im Mai 2023 &#8211; ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> berichtet. Der Hack wurde von Microsoft zum 11. Juli 2023 im Beitrag <a href=\"https:\/\/msrc.microsoft.com\/blog\/2023\/07\/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email\/\">Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email<\/a> bekannt gegeben. Entdeckt wurde der Hack von einem Kunden (US-Au\u00dfenministerium), nachdem diesem ungew\u00f6hnliche Zugriffe auf Konten aufgefallen waren. Eine Untersuchung war nur m\u00f6glich, weil dieser Kunde vor der Entscheidung, Exchange Online einzusetzen, auf die kostenlose Bereitstellung von Purview bestanden hatte.\u00a0 Andere Kunden mussten den Audit-Zugriff auf die Purview Protokolldaten bezahlen.<\/p>\n<p>Nach dem Vorfall machte die US-Cybersicherheitsbeh\u00f6rde CISA Druck, so dass Microsoft sich entschloss, den Audit-Zugriff auf die Purview Protokolldaten &#8211; zumindest in Basis-Varianten &#8211; kostenfrei bereitzustellen. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/20\/microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit\/\">Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a> \u00fcber diese Entscheidung berichtet. Das gesamte Desaster (im Grund ist die gesamte Microsoft Cloud samt allen Diensten und Apps als kompromittiert anzusehen) samt den Microsoft-Vers\u00e4umnissen rund um den Storm-0558-Hack sind in den nachfolgend verlinkten Artikeln nachzulesen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/17\/nachlese-zum-storm-0558-cloud-hack-microsoft-tappt-noch-im-dunkeln\/\">Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/20\/microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit\/\">Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/22\/gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten\/\">GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/12\/microsofts-cloud-hack-berprfung-durch-us-cyber-safety-review-board\/\">Microsofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/15\/microsoft-cloud-hack-durch-storm-0588-us-senatoren-unter-den-opfern-prfpflicht-fr-europische-verantwortliche\/\">Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/21\/nachgehakt-zum-cloud-hack-durch-storm-0588-und-microsofts-schweigen\/\">Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/07\/microsofts-storm-0588-cloud-hack-schlssel-stammt-aus-windows-crash-dump-eines-pcs\/\">Microsofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/18\/interview-mit-kontrafunk-der-kleingeredete-hack-der-microsoft-cloud\/\">Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/29\/mehr-als-60-000-e-mails-des-us-auenministeriums-beim-microsofts-storm-0558-cloud-hack-abgegriffen\/\">Mehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-feuer-von-der-us-politik-nach-microsofts-azure-cloud-gau-und-forderung-zum-microsoft-exit-teil-1\/\">Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/03\/sicherheitsrisiko-microsoft-azure-schwachstelle-seit-mrz-2023-ungepatcht-schwere-kritik-von-tenable-teil-2\/\">Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/08\/26\/antworten-von-microsoft-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-1\/\">Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 1<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/26\/antworten-des-bundesdatenschutzbeauftragten-ulrich-kelber-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-2\/\">Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nach dem verheerenden Hack der Microsoft Cloud (Exchange Online- und Outlook-Konten wurden durch die Storm-0588 Gruppe kompromittiert) hatte der Anbieter bereits seinen vorher kostenpflichtigen Zugang zu den Audit-Protokollen von Microsoft Purview zur kostenlosen Nutzung durch Kunden freigegeben. Zum 18. Oktober &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/24\/microsoft-erweitert-purview-logging-nach-storm-0558-hack\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4375,4328],"class_list":["post-287349","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-azure","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=287349"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/287349\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=287349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=287349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=287349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}