Microsoft pimpt Logging für Behörden und Organisationen auf
Microsoft will insbesondere Behördenkunden bei der Umsetzung einer US-Cybersicherheitsrichtlinie entgegenkommen. Das Upgrade kommt für alle.
Untersuchung der Systeme auf Anomalien
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Microsoft will insbesondere für Behörden-Kunden die Logging-Funktionen von Purview Audit (Standard) erweitern. Das Unternehmen habe mit dem US-amerikanischen Exekutivbüro des Präsidenten (EOP), dem Büro des nationalen Cyber-Direktors (ONCD) und der Cybersecurity and Infrastructure Security Agency (CISA) in enger Abstimmung die Maßnahmen für US-Behörden priorisiert. Erweiterte Logging-Funktionen stünden damit auch Kunden ohne teure Microsoft 365 E5-Lizenz zur Verfügung.
Damit setzt Microsoft im Wesentlichen eine präsidiale Order aus dem Jahr 2021 (OMB 21-31) um. Darin geht es um die Verbesserung der Fähigkeiten zur Verfolgung, Analyse und Abwehr von Cybersicherheitsvorfällen. In einem Beitrag in der Techcommunity erläutert das Unternehmen, dass die dadurch verfügbaren Daten neue Telemetrie liefern, um den Anforderungen aus OMB 21-31 bezüglich der Protokollierung gerecht zu werden.
Purview Audit-Daten für bessere Bedrohungsanalysen
Die nun verfügbaren Daten würden die Möglichkeiten verbessern, etwa Busines E-Mail Compromise (BEC, Unterwanderung der Geschäftsmails), Aktivitäten von staatlich gelenkten Cybergangs und sogar mögliche Risiken durch Insider zu erkennen. Als unterstützende Maßnahme wird Microsoft zudem das Microsoft Expanded Cloud Log Implementation Playbook veröffentlichen, das zusammen mit der CISA entwickelt wurde und tiefgehende Einblicke in die neuen Log-Events gegen soll und erläutert, wie die helfen, ungewöhnliche Vorfälle zu erkennen.
Die neuen Logging-Funktionen will Microsoft standardmäßig aktivieren:
- Größe des Unified Auditing Log (UAL) vergrößern, da die neuen Logging-Funktionen bis zu zehnmal mehr Daten liefern
- Datenvorhaltezeit auf mindestens 180 Tage erweitern
- Logging von
SearchQueryInitiatedExchangeundSearchQueryInitiatedSharePointist verfügbar und dem Playbook zufolge empfohlen; Administratorinnen und Administratoren müssen diese Optionen jedoch selbst aktivieren
Langsame Fortschritte
Das Playbook scheint noch nicht online für alle verfügbar zu sein. Die neuen Logging-Funktionen stehen demnach M365 E3-Regierungskunden zur Verfügung, die bislang keinen Zugriff auf Purview Audit Premium aus den Lizenzen E5, G5 oder Compliance Mini-Suite haben. Der stellvertretende CISA-Direktor Eric Goldstein ordnet die Vorgänge wie folgt ein: "Im vergangenen Sommer waren wir froh zu sehen, dass Microsoft sich bemüht, die nötigen Logging-Funktionen Bundesbehörden und der weiteren Cybersicherheit-Community verfügbar zu machen. Ich freue mich, dass wir jetzt echten Fortschritt in Richtung dieses Ziels machen".
Auf Nachfrage von heise online hat Microsoft bestätigt, dass die erweiterten Logging-Funktionen auch deutschen Kunden und schließlich auch weltweit verfügbar werden. "Diese Änderungen werden für alle Kunden weltweit in den kommenden Monaten vorgenommen. Wir haben bislang noch kein genaues Datum, aber unsere öffentliche Planung sieht den Juni 2024 vor", sagte ein Sprecher des Unternehmens.
Grundsätzlich sollte bereits ab September vergangenen Jahres erweitertes Logging für alle Kunden im Rahmen von Purview Audit ohne Aufpreis verfügbar werden. Das war Microsofts Reaktion darauf, dass chinesisch verortete Angreifer offenbar Zugriff auf Online-Exchange-Konten von Regierungsbehörden hatten und das lediglich im Rahmen der kostenpflichtigen, erweiterten Purview Audit Premium-Lizenz haben feststellen können. Daraufhin hat die CISA vermutlich den Druck auf Microsoft erhöht.
(dmk)
