Microsoft étend l’enregistrement dans le cloud pour contrer les cybermenaces croissantes des États-nations

Le géant de la technologie a déclaré qu’il procédait à ce changement en réponse directe à l’augmentation de la fréquence et de l’évolution des cybermenaces émanant d’États-nations. Ce changement devrait être mis en œuvre à partir de septembre 2023 pour tous les clients gouvernementaux et commerciaux.

« Au cours des prochains mois, nous inclurons l’accès à des journaux de sécurité du cloud plus larges pour nos clients du monde entier, sans frais supplémentaires », a déclaré Vasu Jakkal, vice-président de la sécurité, de la conformité, de l’identité et de la gestion chez Microsoft. « Lorsque ces changements prendront effet, les clients pourront utiliser Microsoft Purview Audit pour visualiser de manière centralisée un plus grand nombre de types de données de journalisation générées dans leur entreprise. »

Dans le cadre de ce changement, les utilisateurs devraient avoir accès aux journaux détaillés des accès au courrier électronique et à plus de 30 autres types de données de journal qui n’étaient auparavant disponibles qu’au niveau de l’abonnement Microsoft Purview Audit (Premium). En outre, le fabricant de Windows a déclaré qu’il étendait la période de conservation par défaut pour les clients Audit Standard de 90 jours à 180 jours.

L’agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) s’est félicitée de cette décision, déclarant que « l’accès aux principales données de journalisation est important pour atténuer rapidement les cyberintrusions » et qu’il s’agit d’un « pas en avant significatif pour faire progresser les principes de sécurité dès la conception ».

Cette évolution fait suite à la révélation qu’un acteur menaçant opérant depuis la Chine, surnommé Storm-0558, a pénétré dans 25 organisations en exploitant une erreur de validation dans l’environnement Microsoft Exchange. Le département d’État américain, qui faisait partie des entités touchées, a déclaré qu’il avait pu détecter l’activité malveillante de la boîte aux lettres en juin 2023 grâce à l’amélioration de la journalisation dans Microsoft Purview Audit, en particulier à l’aide de l’action d’audit de la boîte aux lettres MailItemsAccessed, ce qui a incité Microsoft à enquêter sur l’incident. Mais d’autres organisations touchées ont déclaré qu’elles n’avaient pas été en mesure de détecter la violation parce qu’elles n’étaient pas abonnées aux licences E5/A5/G5, qui offrent un accès élevé à divers types de journaux qui seraient cruciaux pour enquêter sur le piratage.

Les menaces d’initiés vous inquiètent ? Nous sommes là pour vous aider ! Participez à ce webinaire pour découvrir des stratégies pratiques et les secrets d’une sécurité proactive avec SaaS Security Posture Management.
Les attaques montées par Storm-0558 auraient commencé le 15 mai 2023, bien que Redmond ait déclaré que l’adversaire avait montré une propension pour les applications OAuth, le vol de jetons et les attaques de relecture de jetons contre les comptes Microsoft depuis au moins août 2021. Microsoft continue de sonder les intrusions, mais la société n’a pas expliqué comment les pirates ont pu acquérir un compte Microsoft inactif (MSA), forger des jetons d’authentification et obtenir un accès illicite aux comptes de messagerie des clients en utilisant Outlook Web Access dans Exchange Online (OWA) Outlook .com.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’informations et de conseils sur la cybersécurité.