CISAは、政府機関および企業向けに、フォレンジックおよびコンプライアンス調査の一環としてMicrosoft 365テナントで拡張されたクラウドログを使用する際のガイダンスを共有した。
サイバーセキュリティ機関の説明によると、新たに導入されたMicrosoft Purview Audit(標準)ログ機能は、Exchange OnlineおよびSharePoint Onlineにおけるメール送信、メールアクセス、ユーザー検索などの重要なイベントに関する情報へのアクセスを提供することで、企業のサイバーセキュリティ業務を支援する。
「これらの機能により、企業は数十ものマイクロソフトのサービスやソリューションで実行される何千ものユーザーや管理者の操作を監視し、分析することができます。
「これらのログは、ビジネス電子メール侵害(BEC)、高度な国家的脅威活動、およびインサイダーリスクの可能性のあるシナリオに対する脅威ハンティング能力を強化するための新たな遠隔測定情報を提供する」とCISAは付け加えた。
本日発表された60ページのプレイブックには、Microsoft 365内で拡張されたログをナビゲートし、Microsoft SentinelおよびSplunk SIEM(セキュリティ情報およびイベント管理)システムに取り込むためのガイダンスも含まれている。
2023年のExchange Online侵害後、ログが拡張
マイクロソフトは、Storm-0558として追跡されている中国のハッキングが2023年5月から6月にかけてExchange Onlineの 侵害で国務省と商務省の政府高官の電子メールを盗んだことを2023年7月に公表した後、CISAの圧力により、すべてのPurview Audit標準顧客(E3/G3ライセンス以上)向けの無料ログ機能を拡張しました。
攻撃者は、2021年4月にWindowsのクラッシュダンプから盗まれたMicrosoftアカウント(MSA)キーを使用して認証トークンを偽造し、Outlook.comおよびExchange Online(OWA)のOutlook Web Accessを介して標的の電子メールアカウントにアクセスしました。
攻撃者はほとんど検知を逃れていたが、国務省のセキュリティ・オペレーション・センター(SOC)は、強化されたクラウドロギング(すなわち、MailItemsAccessedイベント)にアクセスできる「社内検知ツール」を使用して、悪意のある活動を検知した。
しかし、これらのロギング機能(具体的には、予期しないClientAppIDとAppIDを持つMailItemsAccessedイベント)は、MicrosoftのPurview Audit(Premium)ロギングライセンスを持つ顧客のみが利用可能でした。このため、Storm-0558の攻撃を迅速に検知することを妨げたとして、レドモンド社に対する業界からの批判が広まりました。
侵入から数カ月後、国務省当局者は、中国のハッカーがマイクロソフトのクラウドベースのExchange Online電子メールプラットフォームを侵害した後、同省職員のOutlookアカウントから6万通以上の電子メールを盗んだことを明らかにした。
Comments