Alles rund um Windows

Microsofts neue erweiterte Protokollierungsfunktionen könnten große Veränderungen für Geräte der US-Regierung bedeuten

Microsoft hat kürzlich die Protokollierungsfunktionen für seine Cloud-Dienste erweitert, was erhebliche Veränderungen für US-Regierungsorganisationen bedeuten könnte.

Im Juli 2023 fand ein staatlich geförderter chinesischer Cyberkrimineller einen Weg, auf E-Mail-Konten von Regierungsbeamten zuzugreifen, die im Außenministerium und im Handelsministerium arbeiten. Die Auswirkungen waren erheblich und führten unter anderem dazu, dass Microsoft die kostenlosen Protokollierungsfunktionen für alle Benutzer des Purview Audit Standard erweiterte.

Nun hat die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) ihre Leitlinien veröffentlicht, in denen Regierungsbehörden und Unternehmen erklärt wird, wie sie die Änderungen nutzen können.

Navigieren in erweiterten Protokollen

Die neue Anleitung ist ein 60-seitiges Handbuch, sodass die Änderungen ziemlich umfangreich sein könnten.

Diese Funktionen ermöglichen es Organisationen auch, Tausende von Benutzer- und Administratorvorgängen zu überwachen und zu analysieren, die in Dutzenden von Microsoft-Diensten und -Lösungen ausgeführt werden. Diese Protokolle bieten neue Telemetrie, um die Fähigkeiten zur Bedrohungsjagd bei Business Email Compromise (BEC), fortgeschrittenen Bedrohungsaktivitäten von Nationalstaaten und möglichen Insider-Risiko-Szenarien zu verbessern.

In der Anleitung wird auch die Navigation in den erweiterten Protokollen innerhalb von Microsoft 365 und deren Verwendung sowohl mit Microsoft Sentinel als auch mit Splunk Security Information and Event Management (SIEM)-Systemen erläutert.

Im Juli 2023 nutzte die chinesische Cyberspionagegruppe Storm-0558 eine Sicherheitslücke im E-Mail-System Outlook von Microsoft aus, um sich unbefugten Zugang zu E-Mail-Konten von US-Regierungsbehörden und anderen Organisationen zu verschaffen. Die Angreifer verwendeten einen gestohlenen Microsoft-Sicherheitsschlüssel, um Authentifizierungstoken zu fälschen und so Sicherheitsmaßnahmen zu umgehen.

Infolgedessen war Microsoft gezwungen, den kompromittierten Sicherheitsschlüssel zu widerrufen, seine Token-Validierungssysteme zu stärken und die Transparenz zu erhöhen, indem es den betroffenen Kunden detaillierte Vorfallberichte und Sicherheitsupdates zur Verfügung stellte. Darüber hinaus wurde das Unternehmen hinsichtlich seiner Cloud-Sicherheitspraktiken unter die Lupe genommen und stand unter Druck, die Sicherheitsvorkehrungen zu verbessern, um ähnliche Sicherheitsverletzungen in Zukunft zu verhindern.

Microsoft startete im November 2023 außerdem seine Secure Future Initiative (SFI), ein umfassendes Cybersicherheitsprogramm, das darauf abzielt, die Sicherheitsresilienz seiner Produkte und Dienstleistungen zu verbessern. Das Unternehmen investierte stark in fortschrittliche Funktionen zur Erkennung, Verhinderung und Bekämpfung von Bedrohungen.