Est-il raisonnable, pour les fournisseurs technologiques, de faire des journaux de sécurité une activité lucrative ? La CISA – homologue américaine de notre ANSSI – s’est permis une déclaration publique à ce sujet, en réaction à une annonce de Microsoft.
Ce dernier a donné rendez-vous en septembre. À cette échéance, il commencera à fournir, sur la version de base de sa solution d’audit Purview, l’accès à certains logs qui exigent actuellement une licence Premium. Licence accessible uniquement si on dispose de Microsoft 365 E5 (Commercial), A5 (Éducation) ou G5 (Gouvernement).
Microsoft promet « plus de 30 types de logs » supplémentaires, sans détailler lesquels. Il met néanmoins l’accent sur les e-mails. En toile de fond, un épisode survenu le mois dernier. Une agence fédérale US a vu sa messagerie Exchange infiltrée.
Attribuée à des pirates chinois, l’attaque a été découverte grâce à l’événement MailsItemsAccessed… auquel ne peuvent accéder que les utilisateurs de Purview Audit Premium. Dans une analyse technique publiée la semaine passée, la CISA a expliqué qu’à sa connaissance, il n’y avait pas d’autre indice exploitable. Dans ce contexte, elle avait fortement recommandé à toute organisation d’activer la licence Purview Audit Premium, non sans reconnaître le surcoût que cela pouvait représenter.
Outre MailItemsAccessed, Send et SearchQueryInitiatedExchange font partie des « événements Exchange premium ». Le premier se déclenche en cas d’envoi d’un e-mail. Il horodate cet envoi, précise l’identifiant du message, le sujet et l’éventuelle présence de pièces jointes. Le second reflète l’usage d’Outlook pour effectuer une recherche dans une boîte de réception. SearchQueryInitiatedSharePoint est son pendant en environnement SharePoint.
D’autres services cloud Microsoft collectent des logs « premium ». Par exemple :
– Forms (mise à jour de paramètres par un propriétaire, connexion à un classeur Excel…)
– Stream (visualisation d’un groupe, récupération d’une transcription…)
– Teams (modification d’un message, ajout d’information sur des participants…)
– Viva Engage (création d’un message, échec de l’accès à une communauté…)
Une fois ces logs ouverts à l’édition Standard, Purview Audit Premium s’en différenciera essentiellement sur deux points. D’une part, la durée de rétention par défaut. De l’autre, les capacités d’export automatisé.
Photo d’illustration © noah9000 – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…