共计 880 个字符,预计需要花费 3 分钟才能阅读完成。
微软近日通知其客户,部分云产品的安全日志丢失超过两周,这对网络防御者来说是一个重大打击,因为他们失去了检测潜在入侵的关键数据。
根据发送给受影响客户的通知,微软表示,“微软内部监控代理中的一个错误导致某些代理在将日志数据上传到我们的内部日志平台时出现故障”,时间从 9 月 2 日到 9 月 19 日。
通知称,日志中断并非由安全事件引起,“仅影响了日志事件的收集”。
日志记录有助于跟踪产品内的事件,例如用户登录信息和失败尝试,这有助于网络防御者识别可疑入侵。丢失的日志可能使客户在两周内更难识别对其网络的未授权访问。
受影响的产品包括 Microsoft Entra、Sentinel、Defender for Cloud 和 Purview。受影响的客户“可能在安全相关日志或事件中存在潜在的空白,可能影响客户分析数据、检测威胁或生成安全警报的能力”,通知称。
微软不会回答有关日志中断的具体问题,但微软执行副总裁 John Sheehan 向 TechCrunch 确认,该事件是由“我们内部监控代理中的操作错误”引起的。
“我们已经通过回滚服务更改解决了问题。我们已经向所有受影响的客户进行了沟通,并将根据需要提供支持,”Sheehan 说。
此次日志中断发生在微软因向某些美国联邦政府部门隐瞒安全日志而受到联邦调查人员批评一年后,这些部门在其强化、仅限政府的云上托管电子邮件;调查人员表示,访问这些日志本可以更早识别一系列中国支持的入侵。
中国支持的入侵者,被称为 Storm-0558,入侵了微软的网络并窃取了一个数字密钥,使黑客可以无限制访问存储在微软云中的美国政府电子邮件。根据政府发布的网络攻击事后分析,国务院识别了入侵,因为它为更高级别的微软许可证付费,该许可证授予其云产品的安全日志访问权限,而许多其他被黑客攻击的美国政府机构没有这种权限。
在中国支持的黑客攻击之后,微软表示将从 2023 年 9 月开始向其较低付费的云账户提供日志。
总的来说,这次事件提醒我们,即使在技术巨头如微软的云服务中,安全日志的管理和监控也至关重要。希望微软能够从这次事件中吸取教训,进一步完善其安全措施,确保客户的网络安全。
