微软公布旗下用户云产品丢失了数周的安全日志

科技荐闻 2024-10-22 16:40:18

微软通知客户其部分云产品缺失超过两周的安全日志,网络防御者因此无法获得检测潜在入侵的关键数据。

根据发给受影响客户的通知,微软表示"由于微软内部监控代理中的一个错误,导致一些代理在将日志数据上传到我们内部日志平台时发生故障",这一问题发生在9月2日至9月19日期间。

通知中指出,日志中断并非由安全事件引起,"仅影响了日志事件的收集"。

《商业内幕》在10月初首次报道了日志数据的丢失。通知的具体内容尚未被广泛报道。正如安全研究员凯文·博蒙特(Kevin Beaumont)所指出的,微软发给受影响公司的通知可能仅对拥有租户管理员权限的少数用户可见。

日志记录有助于跟踪产品中的事件,比如用户登录和失败尝试的信息,这可以帮助网络防御者识别疑似入侵行为。在这两周的时间窗口中,缺失的日志可能会让识别未经授权的网络访问变得更加困难。

根据《商业内幕》报道,受影响的产品包括Microsoft Entra、Sentinel、Defender for Cloud和Purview。通知中称,受影响的客户"可能在与安全相关的日志或事件中经历了潜在的缺口,这可能影响客户分析数据、检测威胁或生成安全警报的能力"。

微软没有回答关于日志中断的具体问题,但一位微软高管向TechCrunch证实,此事件是由"我们内部监控代理的操作性错误"引发的。

微软公司副总裁约翰·希恩(John Sheehan)表示:"我们已经通过回滚服务更改来缓解该问题。我们已通知所有受影响的客户,并将在需要时提供支持。"

此次日志中断发生在微软因未向某些美国联邦政府部门提供安全日志而受到联邦调查人员批评的一年之后。这些部门将其邮件托管在微软的专属政府云上;调查人员表示,若能访问这些日志,本可以更早发现一系列由中国支持的入侵行为。

这些被称为Storm-0558的中国支持的入侵者,闯入了微软的网络,并窃取了一把数字"万能钥匙",使黑客能够随意访问存储在微软云中的美国政府邮件。根据政府发布的网络攻击事后分析,国务院之所以能识别出这些入侵行为,是因为其购买了更高级别的微软许可,从而获得了其云产品的安全日志访问权限,而许多其他被攻击的美国政府机构并没有这样的权限。

在中国支持的黑客攻击事件之后,微软宣布将从2023年9月起,向其付费较低的云账户提供日志访问权限。

0 阅读:0