Microsoft hat die kostenlosen Protokollierungsfunktionen für alle US-Bundesbehörden erweitert, die Microsoft Purview Audit nutzen, unabhängig vom Lizenzniveau, mehr als sechs Monate nachdem eine mit China verbundene Cyber-Spionagekampagne, die sich gegen zwei Dutzend Organisationen richtete, ans Licht kam.
Gemäß der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) wird Microsoft automatisch die Protokolle in Kundenkonten aktivieren und die Standard-Protokollaufbewahrungsfrist von 90 auf 180 Tage erhöhen. Diese Daten werden auch neue Telemetrie liefern, um mehr Bundesbehörden dabei zu helfen, die Protokollierungsanforderungen gemäß dem Memorandum M-21-31 des Office of Management and Budget zu erfüllen.
Im Juli 2023 gab Microsoft bekannt, dass eine aus China stammende Gruppe namens Storm-0558 unbefugten Zugriff auf etwa 25 Einheiten in den USA und Europa sowie auf eine kleine Anzahl damit verbundener individueller Verbraucherkonten hatte. Die Gruppe operiere mit einem hohen Maß an technischer Gewandtheit und operationeller Sicherheit und sei sich des Umfelds, der Protokollierungspolicies, der Authentifizierungsanforderungen, Richtlinien und Verfahren der Ziele genau bewusst.
Die Kampagne wird angenommen, im Mai 2023 begonnen zu haben, wurde aber erst einen Monat später entdeckt, nachdem eine US-Bundesbehörde, später als das Außenministerium identifiziert, verdächtige Aktivitäten in unklassifizierten Microsoft 365-Protokollen festgestellt und dies Microsoft gemeldet hatte. Der Einbruch wurde durch die Nutzung erweiterter Protokollierung in Microsoft Purview Audit entdeckt, insbesondere durch die Verwendung der MailItemsAccessed-Mailbox-Prüfaktion, die normalerweise Premium-Abonnenten zur Verfügung steht.
Die Angreifer sollen mindestens 60.000 unklassifizierte E-Mails aus Outlook-Konten von Beamten des Außenministeriums gestohlen haben, die in Ostasien, im Pazifik und in Europa stationiert waren, berichtete Reuters im September 2023. Peking hat die Anschuldigungen bestritten. Microsoft stand auch unter intensiver Kritik, weil es grundlegende, aber wichtige Protokollierungsfähigkeiten für Entitäten zurückgehalten hat, die das teurere E5- oder G5-Plan abonniert haben, was das Unternehmen zu Änderungen veranlasste.
Microsoft erkannte die wichtige Rolle, die erweiterte Protokollierung bei der Erkennung, Reaktion und Verhinderung auch der ausgeklügeltsten Cyberangriffe von gut ausgerüsteten, staatlich geförderten Akteuren spielt. „Aus diesem Grund haben wir mit Bundesbehörden zusammengearbeitet, um Zugriff auf erweiterte Audit-Logs bereitzustellen“, sagte Candice Ling von Microsoft.