Het nut van activiteitenloggen in Microsoft 365 en implementatie

Een Chinese hacker die een account van de Amerikaanse overheid in Microsoft 365 binnenkwam, is een wake-up call. Het is tijd om uw huidige logginghouding te herzien.

Herbenoeming en kwetsbaarheden in Microsoft

Op dezelfde dag dat Microsoft de herbenoeming van Azure Active Directory naar Microsoft Entra ID aankondigde, en het bedrijf aankondigde dat het een Office/HTML zero-day kwetsbaarheid volgde waarvoor geen patch beschikbaar was, liet het bedrijf ook een schokkend nieuws vallen: Een Chinese aanvaller had sommige van zijn klanten bij de Amerikaanse overheid getarget.

Hoe de aanval plaatsvond

Door een gestolen klantaccountondertekeningscertificaat van Microsoft te gebruiken, misleidde de hacker het authenticatieproces om toegang te krijgen tot overheidsmailaccounts. Hoe bepaalde Microsoft dat er een probleem was?

De rol van logging

Het bedrijf deed dat niet. Het rode signaal werd gegeven door de overheidsklanten die hadden betaald voor premium logboekmogelijkheden en in staat waren om te volgen wie de inhoud van hun mailboxen had geraadpleegd. De situatie belichtte het grote belang van logging en weten welke loggingfunctionaliteit standaard komt en wat wordt aangeboden via premium services.

De diepte van de aanval vaststellen

Eerst even wat geschiedenis. Jaren geleden was er een API die onderzoekers vonden die accountactiviteiten zou volgen en zou blootleggen wie toegang had gekregen tot een mailitem. Bij een zakelijke e-mailcompromis kon je bepalen of een aanvaller toegang had gekregen tot je netwerk, maar je wist vaak niet of ze openden of toegang hadden tot bepaalde informatie of het leek alleen alsof ze dat hadden.

Inzicht door logging

Toen deze informatie aan het licht kwam, bouwden onderzoekers een tool die deze informatie zou blootleggen. Er werd ooit gezegd dat Microsoft van plan was om de zogenaamde “Magic Unicorn” -tool uit te brengen die gedetailleerde tracking van Office 365-mailboxactiviteit mogelijk zou maken en het publiek zou maken.

Logboektoegang uitgebreid door Microsoft

Dit heeft ook Microsoft aangezet om de gedurfde stap te zetten om ervoor te zorgen dat elke klant dit niveau van logging beschikbaar heeft zonder te hoeven betalen voor een premium niveau om toegang te krijgen. Op 19 juli 2023 kondigde Microsoft aan dat het de toegang tot bredere cloudbeveiligingslogboeken voor wereldwijde klanten zonder extra kosten zal faseren.

Toegang tot logboekbestanden

Microsoft begint deze logboekverbeteringen in september uit te rollen, maar er zijn manieren waarop u nu al toegang kunt krijgen tot deze logboekbestanden en hun informatie in de tussentijd kunt beoordelen. Ten eerste, gebruik een proefversie: als u denkt dat er een inbreuk is gepleegd en u heeft deze licentie niet, dan wilt u toch op de hoogte zijn dat het logboek beschikbaar is zodat u zich vervolgens kunt aanmelden voor een proefversie.

Conclusie

Zou je hebben geweten of er een aanval op je netwerk was geweest? Zou je hebben kunnen aantonen dat er een inbreuk had plaatsgevonden? Stel jezelf deze vragen en begin te onderzoeken welke logboekmogelijkheden je in je eigen bronnen wilt opnemen.

Als u hulp nodig heeft bij het implementeren van deze logboekmogelijkheden of vragen heeft over uw netwerkbeveiliging, aarzel dan niet om contact op te nemen met het team van Alta-ICT. We staan klaar om u te ondersteunen.

Als u hulp nodig heeft bij het implementeren van deze logboekmogelijkheden of vragen heeft over uw netwerkbeveiliging, aarzel dan niet om contact op te nemen met het team van ALTA-ICT. We staan klaar om u te ondersteunen.