Sous pression, Microsoft ouvre ses journaux de sécurité
Publié par Clément Bohic le - mis à jour à
Certains logs Microsoft 365 ne nécessiteront bientôt plus une licence premium. Comment expliquer cette décision ?
Est-il raisonnable, pour les fournisseurs technologiques, de faire des journaux de sécurité une activité lucrative ? La CISA - homologue américaine de notre ANSSI - s'est permis une déclaration publique à ce sujet, en réaction à une annonce de Microsoft.
Ce dernier a donné rendez-vous en septembre. À cette échéance, il commencera à fournir, sur la version de base de sa solution d'audit Purview, l'accès à certains logs qui exigent actuellement une licence Premium. Licence accessible uniquement si on dispose de Microsoft 365 E5 (Commercial), A5 (Éducation) ou G5 (Gouvernement).
Microsoft promet « plus de 30 types de logs » supplémentaires, sans détailler lesquels. Il met néanmoins l'accent sur les e-mails. En toile de fond, un épisode survenu le mois dernier. Une agence fédérale US a vu sa messagerie Exchange infiltrée.
Une attaque indétectable sans logs premium ?
Attribuée à des pirates chinois, l'attaque a été découverte grâce à l'événement MailsItemsAccessed... auquel ne peuvent accéder que les utilisateurs de Purview Audit Premium. Dans une analyse technique publiée la semaine passée, la CISA a expliqué qu'à sa connaissance, il n'y avait pas d'autre indice exploitable. Dans ce contexte, elle avait fortement recommandé à toute organisation d'activer la licence Purview Audit Premium, non sans reconnaître le surcoût que cela pouvait représenter.
Outre MailItemsAccessed, Send et SearchQueryInitiatedExchange font partie des « événements Exchange premium ». Le premier se déclenche en cas d'envoi d'un e-mail. Il horodate cet envoi, précise l'identifiant du message, le sujet et l'éventuelle présence de pièces jointes. Le second reflète l'usage d'Outlook pour effectuer une recherche dans une boîte de réception. SearchQueryInitiatedSharePoint est son pendant en environnement SharePoint.
D'autres services cloud Microsoft collectent des logs « premium ». Par exemple :
- Forms (mise à jour de paramètres par un propriétaire, connexion à un classeur Excel...)
- Stream (visualisation d'un groupe, récupération d'une transcription...)
- Teams (modification d'un message, ajout d'information sur des participants...)
- Viva Engage (création d'un message, échec de l'accès à une communauté...)
Une fois ces logs ouverts à l'édition Standard, Purview Audit Premium s'en différenciera essentiellement sur deux points. D'une part, la durée de rétention par défaut. De l'autre, les capacités d'export automatisé.
Photo d'illustration © noah9000 - Adobe Stock