Nieuws
image

VS: Microsoft-logs belangrijk voor detecteren van geavanceerde aanvallen

donderdag 16 januari 2025, 10:32 door Redactie, 8 reacties

Het Amerikaanse cyberagentschap CISA wijst organisaties in een nieuwe handleiding op het belang van Microsoft-logs voor forensisch onderzoek, audits en het detecteren van en beschermen tegen geavanceerde aanvallen. Microsoft besloot na kritiek van het CISA en beveiligingsonderzoekers om klanten standaard meer logs te geven. Aanleiding was een aanval die in juli 2023 bekend werd.

Aanvallers hadden ingebroken op de Exchange Online-omgeving van Microsoft, waarbij tienduizenden e-mails werden gestolen, waaronder van de Amerikaanse overheid. De Amerikaanse overheid ontdekte de aanval op basis van bepaalde events die in de logs terugkwamen. Deze events werden echter alleen gelogd voor klanten met een Enterprise E5-licentie. De kritiek van het CISA en onderzoekers zorgde ervoor dat Microsoft besloot om uitgebreidere logging voor alle klanten beschikbaar te maken.

De handleiding van het CISA, die bedoeld is voor technisch personeel, beschrijft hoe de nieuwe logfunctionaliteit is te gebruiken voor zaken als audits, forensisch onderzoek en het detecteren van aanvallen. Zo worden belangrijke events besproken, zoals bekeken mail items, verstuurde mail items en zoekopdrachten in SharePoint Online en Exchange Online. Daarnaast bespreekt de handleiding ook andere belangrijke gelogde events in M365-diensten, waaronder Teams. Als laatste wordt beschreven hoe de logs binnen Microsoft Sentinel en Splunk Security Information and Event Management (SIEM) systemen zijn te gebruiken.

Reacties (8)
Reageer met quote
Vandaag, 10:37 door Anoniem
Dus we maken brakke software. En dan gaan we alles van gebruikers loggen om te zien waar het fout gaat.

Het had een plan van de overheid kunnen zijn...
Reageer met quote
Vandaag, 14:28 door Anoniem
Microsoft besloot na kritiek van het CISA en beveiligingsonderzoekers om klanten standaard meer logs te geven
Hoezo bepaalt Microsoft en niet de klant zoals bij open source software? Wordt security soms ook al gekapitaliseerd?
Reageer met quote
Vandaag, 15:19 door Anoniem
Uiteindelijk levert het de softwareboeren weer ontzettend veel geld op: een E5-licentie is de duurste uit de reeks. En als je die niet kiest maar een SIEM gebruikt wordt het plaatje er ook niet goedkoper op. Er komt een moment dat de hoeveelheid logging zóveel is dat een organisatie dit zelf niet meer kan verwerken. De vraag is of de securitybedrijven die de SOC-diensten dan overnemen dit wél kunnen (en hoe lang nog).
Reageer met quote
Vandaag, 15:58 door Anoniem
Door Anoniem: Uiteindelijk levert het de softwareboeren weer ontzettend veel geld op: een E5-licentie is de duurste uit de reeks. En als je die niet kiest maar een SIEM gebruikt wordt het plaatje er ook niet goedkoper op. Er komt een moment dat de hoeveelheid logging zóveel is dat een organisatie dit zelf niet meer kan verwerken. De vraag is of de securitybedrijven die de SOC-diensten dan overnemen dit wél kunnen (en hoe lang nog).

Lees je wel? Of ben je hier op het forum alleen maar om te klagen?
Reageer met quote
Vandaag, 16:01 door Anoniem
Door Anoniem:
Microsoft besloot na kritiek van het CISA en beveiligingsonderzoekers om klanten standaard meer logs te geven
Hoezo bepaalt Microsoft en niet de klant zoals bij open source software? Wordt security soms ook al gekapitaliseerd?
Omdat het hun infrastructuur, software en service is je neemt alleen een gebruiks licentie af en daarmee ga je akkoord met bepaalde voorwaarden. En tja als je dan als IT afdeling niet eerst onderzoek doet naar wat er mogelijk is dan is het wel je eigen domme schuld. Ook de reden waarom ik geen akkoord heb gegeven in ons bedrijf om onze eigen mail via 365 te gaan hosten. Lekker ouderwets eigen datacenter infra ;)
Reageer met quote
Vandaag, 16:01 door Anoniem
Door Anoniem:
Microsoft besloot na kritiek van het CISA en beveiligingsonderzoekers om klanten standaard meer logs te geven
Hoezo bepaalt Microsoft en niet de klant zoals bij open source software? Wordt security soms ook al gekapitaliseerd?

dat lijkt me en retorische vraag; zonder Microsoft zou de Security branch niet zo welig tieren
Reageer met quote
Vandaag, 16:31 door Anoniem
Door Anoniem:
Door Anoniem: Uiteindelijk levert het de softwareboeren weer ontzettend veel geld op: een E5-licentie is de duurste uit de reeks. En als je die niet kiest maar een SIEM gebruikt wordt het plaatje er ook niet goedkoper op. Er komt een moment dat de hoeveelheid logging zóveel is dat een organisatie dit zelf niet meer kan verwerken. De vraag is of de securitybedrijven die de SOC-diensten dan overnemen dit wél kunnen (en hoe lang nog).

Lees je wel? Of ben je hier op het forum alleen maar om te klagen?
Wat een dooddoener zeg. Typisch wapen van de domrechts cultuur ( hiermee wordt niet beweerd dat jij dom bent). Je mag niet kritisch zijn want dat is klagen of polariseren. Heb je ook nog argumenten om zijn opmerking te weerleggen?
Reageer met quote
Vandaag, 16:55 door Anoniem
Door Anoniem:
Door Anoniem:
Microsoft besloot na kritiek van het CISA en beveiligingsonderzoekers om klanten standaard meer logs te geven
Hoezo bepaalt Microsoft en niet de klant zoals bij open source software? Wordt security soms ook al gekapitaliseerd?
Omdat het hun infrastructuur, software en service is je neemt alleen een gebruiks licentie af en daarmee ga je akkoord met bepaalde voorwaarden. En tja als je dan als IT afdeling niet eerst onderzoek doet naar wat er mogelijk is dan is het wel je eigen domme schuld. Ook de reden waarom ik geen akkoord heb gegeven in ons bedrijf om onze eigen mail via 365 te gaan hosten. Lekker ouderwets eigen datacenter infra ;)
Heel goed. Hier zijn wij zo dom geweest om te relayen naar 365. Daar laten ze je mail gewoon meer dan een dag in de queue staan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure