Microsoft annonce la perte de plusieurs semaines de journaux de sécurité pour les produits cloud de ses clients

 (techcrunch.com)
2 points par GN⁺ 2024-10-22 | 1 commentaires | Partager sur WhatsApp

  • Perte de journaux de sécurité

    • Microsoft a informé ses clients que les journaux de sécurité de certains produits cloud ont été perdus pendant plus de deux semaines
    • Du 2 septembre au 19 septembre, un bug dans l’agent interne de supervision de Microsoft a provoqué un problème lors de l’envoi des données de journaux
    • Il ne s’agit pas d’un incident de sécurité et seul la collecte des événements de journalisation a été affectée
    • Business Insider a été le premier à révéler cette perte de données de journaux
    • Les journaux aident à identifier les intrusions réseau en suivant des événements comme les informations de connexion des utilisateurs et les tentatives échouées
    • La perte de journaux peut rendre plus difficile l’identification d’accès non autorisés sur les réseaux des clients
    • Les produits concernés incluent Microsoft Entra, Sentinel, Defender for Cloud et Purview
    • Microsoft a annulé une modification de service pour corriger le problème et fournira une assistance aux clients concernés

  • Lien avec l’affaire de piratage chinoise

    • Microsoft avait déjà été critiqué l’an dernier pour ne pas avoir fourni de journaux de sécurité dans le cloud hébergeant les e-mails de services du gouvernement américain
    • Le groupe de hackers chinois Storm-0558 a pénétré le réseau de Microsoft et accédé à des e-mails du gouvernement américain
    • Le département d’État américain a identifié l’intrusion en accédant aux journaux de sécurité via une licence Microsoft de niveau supérieur
    • Microsoft a commencé à fournir ces journaux aussi aux comptes cloud avec des offres moins chères à partir de septembre 2023

  • Le récapitulatif de GN⁺

    • La perte des journaux de sécurité chez Microsoft rappelle une nouvelle fois l’importance de la sécurité cloud
    • Cette perte peut temporairement fragiliser la sécurité réseau des clients
    • Le lien avec l’affaire de piratage chinois souligne l’importance des journaux de sécurité et la nécessité pour les entreprises d’en faciliter l’accès
    • Parmi les solutions de sécurité offrant des fonctions similaires, Splunk et IBM QRadar sont notamment recommandés

À lire aussi

1 commentaires

 
GN⁺ 2024-10-22
Avis Hacker News

  • Utiliser Azure dans un véritable environnement de production relève de la responsabilité de l'utilisateur. Même avec 10000 $ de crédits gratuits, je ne l'utiliserais pas plus d'un mois. C'est cher, l'interface n'est pas conviviale et le produit n'est pas fiable pour des charges de travail de production.

    • Je pense que Microsoft pourrait faire mieux.

  • Presque toutes les équipes ont eu des bugs avec des applications exécutées sur des VM. Des problèmes sont apparus lors de l'envoi des logs applicatifs vers le stockage. Beaucoup d'équipes ont dû redémarrer manuellement les agents.

  • Des produits Microsoft ont été touchés, notamment Entra, Sentinel, Defender for Cloud et Purview.

    • Le fait qu'Entra ait été touché est grave. Mais peu de gens ont réellement besoin des logs SSO.

  • Il ne faut pas oublier les articles sur les échecs de Microsoft en cybersécurité à l'étranger et leur ignorance délibérée.

  • Je me demande quelle opération d'information a soutenu cela.

  • Certains soupçonnent que les logs système révélaient des vulnérabilités de la plateforme. Ça sent le service marketing qui a perdu les logs et essaie de gagner du temps.

  • Je me demande si la NSA a volé les logs.

  • Le Batch Service d'Azure n'est pas terrible. Son ordonnanceur de tâches n'est pas du tout précis.

  • Je me demande pourquoi ils ont reconnu publiquement ce problème.