网络安全和基础设施安全局 (CISA) 为政府机构和企业发布了有关利用 Microsoft 365 中扩展的云日志记录功能进行取证和合规性调查的新指南。这些新的 Microsoft Purview Audit (Standard) 日志记录功能提供了有关关键事件的详细信息,例如发送和访问的电子邮件,以及 Exchange Online 和 SharePoint Online 中的用户搜索,从而增强了网络安全运营。来源
CISA 强调,这些高级日志记录功能使组织能够监控多个 Microsoft 服务中的各种用户和管理活动。这种增强的遥测功能可以显著加强针对企业电子邮件泄露、高级民族国家威胁和潜在内部风险的威胁搜寻工作。此外,新发布的 60 页 playbook 提供了有关导航这些日志并将其与 Microsoft Sentinel 和 Splunk SIEM 系统集成的详细说明。
这些日志记录功能的扩展是在 Microsoft 于 2023 年 7 月披露的一次重大漏洞之后进行的,当时被识别为 Storm-0558 的中国黑客通过利用 Exchange Online 中的漏洞访问了美国高级政府官员的电子邮件。这一违规行为促使 CISA 向 Microsoft 施压,要求其提供更全面的日志记录功能,而无需为拥有某些许可证的客户支付额外费用。