После того как хакерская группа из Китая Storm-0558 в июле взломала десятки корпоративных и государственных аккаунтов Exchange и Microsoft 365, корпорация Microsoft увеличила срок хранения журналов аудита в Microsoft Purview.
В числе пострадавших организаций оказались госструктуры США и Западной Европы, в том числе Государственный департамент США и Министерство торговли. В сентябре Госдепартамент заявил о краже не менее 60 000 электронных писем из аккаунтов Outlook политиков, работающих в Восточной Азии, Тихоокеанском регионе и Европе.
Microsoft выявила, что злоумышленники использовали криптографический ключ клиента, полученный после взлома корпоративного аккаунта инженера Microsoft. С помощью ключа хакерам удалось взломать аккаунты Exchange Online и Azure Active Directory (AD), получив доступ к государственным электронным почтам.
Сегодня были объявлены изменения в сохранении журналов аудита. В ближайшие недели изменения будут доступны клиентам Microsoft Purview Audit со стандартными лицензиями, начиная с корпоративных клиентов в октябре и государственных клиентов в ноябре.
“Начиная с октября 2023 года мы начали внедрять изменения, позволяющие продлить срок хранения по умолчанию до 180 дней с 90 для журналов аудита, созданных клиентами Audit (Standard). Владельцы лицензий Audit (Premium) продолжат использовать срок хранения по умолчанию в 1 год и возможность продлиться до 10 лет”, – заявил представитель Microsoft Purview.
Под давлением Агентства кибербезопасности и защиты инфраструктуры (CISA), Microsoft расширила доступ к данным облачного журнала без дополнительной оплаты, что поможет ИБ-специалистам выявлять подобные попытки взлома в будущем. Ранее такие возможности регистрации были доступны только клиентам с платными лицензиями Purview Audit (Premium). Из-за этого Microsoft подверглась критике за ограничение возможностей организаций обнаруживать атаки Storm-0558.
С декабря 2023 года клиенты с лицензиями Purview Audit (Standard) также получат доступ к дополнительным журналам доступа к электронной почте и 30 другим событиям Yammer/Viva Engage, Teams, Exchange и SharePoint, ранее доступными только для клиентов с Premium лицензиями.
Держатели лицензий Audit (Premium) по-прежнему будут иметь длительный стандартный срок хранения, более широкий доступ к экспорту данных, высокоскоростной доступ к API и журналы, улучшенные с помощью интеллектуальных подсказок на базе ИИ от Microsoft.