Het Amerikaanse cyberagentschap CISA wijst organisaties in een nieuwe handleiding op het belang van Microsoft-logs voor forensisch onderzoek, audits en het detecteren van en beschermen tegen geavanceerde aanvallen. Microsoft besloot na kritiek van het CISA en beveiligingsonderzoekers om klanten standaard meer logs te geven. Aanleiding was een aanval die in juli 2023 bekend werd.

Aanvallers hadden ingebroken op de Exchange Online-omgeving van Microsoft, waarbij tienduizenden e-mails werden gestolen, waaronder van de Amerikaanse overheid. De Amerikaanse overheid ontdekte de aanval op basis van bepaalde events die in de logs terugkwamen. Deze events werden echter alleen gelogd voor klanten met een Enterprise E5-licentie. De kritiek van het CISA en onderzoekers zorgde ervoor dat Microsoft besloot om uitgebreidere logging voor alle klanten beschikbaar te maken.

De handleiding van het CISA, die bedoeld is voor technisch personeel, beschrijft hoe de nieuwe logfunctionaliteit is te gebruiken voor zaken als audits, forensisch onderzoek en het detecteren van aanvallen. Zo worden belangrijke events besproken, zoals bekeken mail items, verstuurde mail items en zoekopdrachten in SharePoint Online en Exchange Online. Daarnaast bespreekt de handleiding ook andere belangrijke gelogde events in M365-diensten, waaronder Teams. Als laatste wordt beschreven hoe de logs binnen Microsoft Sentinel en Splunk Security Information and Event Management (SIEM) systemen zijn te gebruiken.