A Microsoft estende a retenção de log de auditoria do Purview após violação em Julho
20 de Outubro de 2023

A Microsoft está estendendo a retenção de logs de auditoria do Purview, como prometido, após o grupo de hackers chineses Storm-0558 ter violado dezenas de contas corporativas e governamentais do Exchange e Microsoft 365 em julho.

A lista de organizações afetadas incluiu agências governamentais nos EUA e na Europa Ocidental, com os Departamentos de Estado e Comércio dos EUA entre eles.

O Departamento de Estado revelou no mês passado que os invasores roubaram pelo menos 60.000 e-mails de contas do Outlook pertencentes a funcionários lotados na Ásia Oriental, no Pacífico e na Europa.

A Microsoft divulgou que o grupo de hackers usou uma chave de inscrição do consumidor obtida de um dump de falha do Windows após comprometer a conta corporativa de um engenheiro da Microsoft.

Essa chave foi usada para invadir contas do Exchange Online e Azure Active Directory (AD), dando acesso às contas de e-mail governamental.

As alterações na retenção de log de auditoria anunciadas hoje serão implementadas para clientes do Microsoft Purview Audit com licenças Standard nas próximas semanas, começando com inquilinos empresariais este mês e clientes do governo em novembro.

"A partir de outubro de 2023, começamos a implementar mudanças para estender a retenção padrão para 180 dias a partir de 90 para logs de auditoria gerados por clientes Audit (Standard).

Portadores de licenças Audit (Premium) continuarão com um padrão de um ano, com a opção de estender até 10 anos", disse Rudra Mitra, CVP do Microsoft Purview.

"Essa atualização ajuda todas as organizações a minimizar o risco, aumentando o acesso a dados históricos de atividade de log de auditoria, que são essenciais na investigação do impacto de um incidente de violação de segurança ou acomodando um evento de litígio."

Sob pressão da Agência de Segurança de Infraestrutura e Cibersegurança (CISA), a Microsoft também concordou em ampliar o acesso aos dados de log na nuvem sem custo, o que ajudaria os defensores de rede a identificar tentativas de violação semelhantes no futuro.

Anteriormente, tais capacidades de registro eram exclusivamente acessíveis aos clientes com licenças pagas do Purview Audit (Premium).

Por causa disso, a Microsoft enfrentou críticas generalizadas por impedir as capacidades das organizações de detectar os ataques do Storm-0558.

A partir de dezembro de 2023, os clientes da Microsoft com licenças Purview Audit (Standard) também terão que acessar logs adicionais de acesso a e-mails e 30 outros eventos do Yammer/Viva Engage, Teams, Exchange e Sharepoint anteriormente disponíveis apenas para clientes com licenças Premium.

Os dados extras de registro serão disponibilizados após um processo de implantação em etapas.

A última fase será alcançada em setembro de 2024, quando a empresa começará a expandir os logs de atividades de segurança na nuvem para o Microsoft Exchange e SharePoint com a adição de eventos MailItemsAccessed, Send, SearchQueryInitiatedExchange e SearchQueryInitiatedSharepoint.

"A Microsoft trabalhou de perto com a CISA para identificar esses logs críticos e incluí-los em nossa licença Microsoft Purview Audit (Standard)", disse Mitra.

"Os titulares de licença Audit (Premium) continuarão a obter retenção padrão mais longa, acesso mais amplo para exportar dados, acesso a API de maior largura de banda e logs enriquecidos pelos insights inteligentes alimentados por AI da Microsoft."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...