Images Getty | SOPA Images
Microsoft étendra l’accès aux données importantes des journaux de sécurité après avoir été critiqué pour avoir verrouillé des journaux d’audit détaillés derrière un plan d’entreprise Microsoft 365 qui coûte 57 $ par utilisateur et par mois. Les mises à jour de journalisation commenceront à être déployées “en septembre 2023 pour tous les clients gouvernementaux et commerciaux”, a indiqué la société.
« Au cours des prochains mois, nous inclurons l’accès à des journaux de sécurité cloud plus larges pour nos clients du monde entier sans frais supplémentaires. Au fur et à mesure que ces changements prendront effet, les clients pourront utiliser Microsoft Purview Audit pour visualiser de manière centralisée davantage de types de données de journaux cloud générés dans leur entreprise », a annoncé Microsoft hier.
Microsoft Purview Audit Premium est disponible sur le plan Microsoft 365 E5 à 57 $ par utilisateur pour les entreprises, ainsi que sur le plan d’éducation A5 similaire et le plan gouvernemental G5. Il existe également un service Purview Audit Standard qui comprend une gamme beaucoup plus large de plans, y compris le niveau Microsoft 365 Business Basic qui coûte 6 $ par utilisateur et par mois.
Purview Audit Standard aura bientôt accès à des fonctionnalités actuellement uniquement disponibles dans le service d’audit premium, selon l’annonce de Microsoft.
« Au fur et à mesure du déploiement de nos valeurs par défaut de journalisation étendues, les clients de Microsoft Purview Audit (Standard) bénéficieront d’une visibilité plus approfondie sur les données de sécurité, y compris des journaux détaillés d’accès aux e-mails et plus de 30 autres types de données de journal auparavant uniquement disponibles au niveau de l’abonnement Microsoft Purview Audit (Premium). En plus des nouveaux événements de journalisation disponibles, Microsoft augmente également la période de conservation par défaut pour les clients Audit Standard de 90 jours à 180 jours », a déclaré Microsoft.
“Sécurité du paiement pour jouer”
Comme nous l’avons écrit la semaine dernière, Microsoft a été critiqué pour avoir restreint l’accès aux journaux d’audit détaillés, l’appelant “sécurité payante”. Les journaux avancés disponibles uniquement sur les plans les plus chers ont été utiles pour détecter les violations qui ont permis à un groupe de piratage chinois d’accéder aux comptes de messagerie.
“Si vous n’êtes pas un client payant E5, vous perdez la possibilité de voir que vous avez été compromis”, a déclaré Will Dorman, analyste principal chez Analygence, à Ars.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a déclaré la semaine dernière dans un avis de sécurité qu’une agence de la branche exécutive fédérale avait découvert une violation des données Exchange Online “en tirant parti de la journalisation améliorée, en particulier des événements MailItemsAccessed, et d’une base de référence établie de l’activité Outlook normale (par exemple, AppID attendu). ” Cela “permet la détection d’activités contradictoires autrement difficiles à détecter”, a déclaré la CISA.
Publicité
La CISA et le FBI ont même déclaré qu’ils “encouragent fortement les organisations à activer la journalisation Purview Audit (Premium)”, tout en reconnaissant que la “journalisation nécessite une licence au niveau G5/E5”.
“La CISA et le FBI ne sont pas au courant d’autres journaux d’audit ou événements qui auraient détecté cette activité”, indique l’avis. “Les organisations d’infrastructures critiques sont fortement invitées à mettre en œuvre les recommandations de journalisation de cet avis afin d’améliorer leur posture de cybersécurité et de se positionner pour détecter des activités malveillantes similaires.”
La CISA a exhorté Microsoft à étendre l’accès
CISA avait discuté avec Microsoft de l’élargissement de l’accès aux journaux. “La CISA et Microsoft travaillent depuis plusieurs mois pour identifier les principales activités de journalisation à inclure dans leurs offres”, a écrit Eric Goldstein, directeur adjoint exécutif de la CISA pour la cybersécurité, dans un article de blog hier.
Goldstein a déclaré que la décision de Microsoft “rendra les journaux nécessaires identifiés par la CISA et nos partenaires comme les plus critiques pour identifier les cyberattaques à la disposition des clients sans frais supplémentaires. Bien que nous comprenions qu’il faudra du temps pour déployer une étape aussi importante, cet effort améliorera la cyberdéfense et la réponse aux incidents pour chaque client Microsoft”.
Goldstein a également critiqué l’approche consistant à rendre les journaux de sécurité exclusifs aux abonnements les plus chers. “Alors que les fournisseurs peuvent offrir un accès plus large à la journalisation à des niveaux de licence cloud spécifiques, cette approche rend plus difficile l’investigation des intrusions”, a-t-il écrit. “Demander aux organisations de payer plus pour la journalisation nécessaire est une recette pour une visibilité insuffisante dans les enquêtes sur les incidents de cybersécurité et peut permettre aux adversaires d’avoir des niveaux dangereux de succès en ciblant les organisations américaines.”
Microsoft a déclaré que sa décision d’intégrer la journalisation avancée à tous les plans commerciaux est “le résultat d’une étroite coordination avec les clients commerciaux et gouvernementaux, et avec la Cybersecurity and Infrastructure Security Agency (CISA) sur les types de données de journal de sécurité que Microsoft fournit aux clients du cloud pour des informations et des analyses”.
Les données du journal “jouent un rôle important dans la réponse aux incidents car elles fournissent des informations granulaires et auditables sur la manière dont différentes identités, applications et appareils accèdent aux services cloud d’un client”, a déclaré Microsoft. “Ces journaux eux-mêmes n’empêchent pas les attaques, mais ils peuvent être utiles dans la criminalistique numérique et la réponse aux incidents lors de l’examen de la manière dont une intrusion a pu se produire, par exemple lorsqu’un attaquant se fait passer pour un utilisateur autorisé.”
Purview Audit Premium se différenciera toujours d’Audit Standard en fournissant “des périodes de conservation par défaut plus longues et une prise en charge de l’automatisation pour l’importation de données de journal dans d’autres outils d’analyse”, a déclaré Microsoft.