.
Getty Imagens | Imagens SOPA
A Microsoft expandirá o acesso a importantes dados de log de segurança depois de ser criticada por bloquear logs de auditoria detalhados por trás de um plano corporativo do Microsoft 365 que custa US$ 57 por usuário por mês. As atualizações de registro começarão a ser lançadas “em setembro de 2023 para todos os clientes governamentais e comerciais”, disse a empresa.
“Nos próximos meses, incluiremos acesso a logs de segurança em nuvem mais amplos para nossos clientes em todo o mundo, sem custo adicional. À medida que essas mudanças entrarem em vigor, os clientes poderão usar o Microsoft Purview Audit para visualizar centralmente mais tipos de dados de log em nuvem gerados em sua empresa”, anunciou ontem a Microsoft.
O Microsoft Purview Audit Premium está disponível no plano Microsoft 365 E5 de US$ 57 por usuário para empresas, bem como no plano educacional A5 semelhante e no plano governamental G5. Há também um serviço Purview Audit Standard que vem com uma gama muito mais ampla de planos, incluindo o nível Microsoft 365 Business Basic que custa US$ 6 por usuário por mês.
O Purview Audit Standard em breve terá acesso a recursos atualmente disponíveis apenas no serviço de auditoria premium, disse o anúncio da Microsoft.
“À medida que nossos padrões de log expandidos são lançados, os clientes do Microsoft Purview Audit (Standard) receberão uma visibilidade mais profunda dos dados de segurança, incluindo logs detalhados de acesso a e-mail e mais de 30 outros tipos de dados de log anteriormente disponíveis apenas no nível de assinatura do Microsoft Purview Audit (Premium).
“Segurança paga para jogar”
Como escrevemos na semana passada, a Microsoft enfrentou críticas por restringir o acesso a logs de auditoria detalhados, chamando isso de “segurança paga para jogar”. Os logs avançados disponíveis apenas nos planos mais caros foram úteis na detecção de violações que deram a um grupo de hackers chinês acesso a contas de e-mail.
“Se você não é um cliente que paga E5, perde a capacidade de ver que foi comprometido”, disse Will Dorman, analista principal sênior da Analygence, à Ars.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) disse em um comunicado de segurança na semana passada que uma agência do ramo executivo federal descobriu uma violação dos dados do Exchange Online “aproveitando o registro aprimorado – especificamente de eventos MailItemsAccessed – e uma linha de base estabelecida da atividade normal do Outlook (por exemplo, AppID esperado).” Isso “permite a detecção de atividades adversárias difíceis de detectar”, disse a CISA.
A CISA e o FBI até disseram que “encorajam fortemente as organizações a habilitar o registro de auditoria de auditoria (Premium)”, embora reconheçam que o “registro requer licenciamento no nível G5/E5”.
“A CISA e o FBI não estão cientes de outros registros de auditoria ou eventos que possam ter detectado essa atividade”, disse o comunicado. “As organizações de infraestrutura crítica são fortemente instadas a implementar as recomendações de registro neste comunicado para aprimorar sua postura de segurança cibernética e se posicionar para detectar atividades maliciosas semelhantes”.
A CISA instou a Microsoft a expandir o acesso
A CISA estava conversando com a Microsoft sobre a expansão do acesso aos logs. “A CISA e a Microsoft têm trabalhado nos últimos meses para identificar as principais atividades de registro para incluir em suas ofertas”, escreveu o diretor executivo assistente de segurança cibernética da CISA, Eric Goldstein, em um post de blog ontem.
Goldstein disse que a mudança da Microsoft “tornará os logs necessários identificados pela CISA e nossos parceiros como os mais críticos para identificar ataques cibernéticos disponíveis aos clientes sem custo adicional. Embora entendamos que levará tempo para implementar uma etapa tão importante, esse esforço aumentará a defesa cibernética e a resposta a incidentes para todos os clientes da Microsoft”.
Goldstein também criticou a abordagem de tornar os logs de segurança exclusivos para assinaturas de preços mais altos. “Embora os fornecedores possam oferecer acesso mais amplo ao registro em níveis específicos de licenciamento em nuvem, essa abordagem dificulta a investigação de invasões”, escreveu ele. “Pedir às organizações que paguem mais pelo registro necessário é uma receita para visibilidade inadequada na investigação de incidentes de segurança cibernética e pode permitir que os adversários tenham níveis perigosos de sucesso ao atacar organizações americanas”.
A Microsoft disse que sua decisão de trazer o log avançado para todos os planos de negócios é “o resultado de uma estreita coordenação com clientes comerciais e governamentais e com a Agência de Segurança Cibernética e Infraestrutura (CISA) sobre os tipos de dados de log de segurança que a Microsoft fornece aos clientes da nuvem para insights e análises”.
Os dados de registro “desempenham um papel importante na resposta a incidentes porque fornecem informações granulares e auditáveis sobre como diferentes identidades, aplicativos e dispositivos acessam os serviços em nuvem de um cliente”, disse a Microsoft. “Esses logs em si não impedem ataques, mas podem ser úteis em forense digital e resposta a incidentes ao examinar como uma invasão pode ter ocorrido, como quando um invasor está se passando por um usuário autorizado”.
O Purview Audit Premium ainda será diferenciado do Audit Standard, fornecendo “períodos de retenção padrão mais longos e suporte de automação para importar dados de log para outras ferramentas para análise”, disse a Microsoft.
.
