Після того як група хакерів з Китаю Storm-0558 в липні зламала десятки корпоративних і державних акаунтів Exchange і Microsoft 365, корпорація Microsoft збільшила термін зберігання журналів аудиту в Microsoft Purview.

Серед постраждалих організацій опинилися держструктури США та Західної Європи, зокрема Державний департамент США та Міністерство торгівлі. У вересні Держдепартамент заявив про крадіжку щонайменше 60 000 електронних листів з облікових записів Outlook політиків, які працюють у Східній Азії, Тихоокеанському регіоні та Європі.

Microsoft виявила, що зловмисники використали криптографічний ключ клієнта, отриманий після злому корпоративного облікового запису інженера Microsoft. За допомогою ключа хакерам вдалося зламати облікові записи Exchange Online і Azure Active Directory (AD), отримавши доступ до державних електронних пошт.

Сьогодні було оголошено зміни у збереженні журналів аудиту . У найближчі тижні зміни будуть доступні клієнтам Microsoft Purview Audit зі стандартними ліцензіями, починаючи з корпоративних клієнтів у жовтні та державних клієнтів у листопаді.

«Починаючи з жовтня 2023 року, ми почали впроваджувати зміни, що дозволяють продовжити термін зберігання за умовчанням до 180 днів з 90 для журналів аудиту, створених клієнтами Audit (Standard). Власники ліцензій Audit (Premium) продовжать використовувати термін зберігання за умовчанням на 1 рік і можливість продовжитися до 10 років», — заявив представник Microsoft Purview.

Під тиском Агентства кібербезпеки та захисту інфраструктури (CISA) Microsoft розширила доступ до даних хмарного журналу без додаткової оплати, що допоможе ІБ-фахівцям виявляти подібні спроби злому в майбутньому. Раніше такі можливості реєстрації були доступні лише клієнтам із платними ліцензіями Purview Audit (Premium). Через це Microsoft розкритикувалася за обмеження можливостей організацій виявляти атаки Storm-0558.

З грудня 2023 року клієнти з ліцензіями Purview Audit (Standard) також отримають доступ до додаткових журналів доступу до електронної пошти та 30 інших подій Yammer/Viva Engage, Teams, Exchange та SharePoint, які раніше доступні лише для клієнтів з Premium ліцензіями.

Тримачі ліцензій Audit (Premium), як і раніше, матимуть тривалий стандартний термін зберігання, ширший доступ до експорту даних, високошвидкісний доступ до API та журнали, покращені за допомогою інтелектуальних підказок на базі ІІ від Microsoft.