Microsoft a publié des informations sur ses techniques d'audit avancées utilisées sur sa plate-forme Microsoft 365. Les outils sont impressionnants. Premièrement, il permet aux entreprises de conserver des journaux d'audit sur tous les journaux d'audit Exchange, SharePoint et Azure Active Directory pendant un an avec la possibilité d'augmenter la rétention des journaux d'audit pendant 10 ans avec une licence supplémentaire. Cette rétention de 10 ans permettra aux entreprises de mener des recherches et de se conformer aux obligations réglementaires, légales et internes. Tous les autres journaux d'audit seront conservés par défaut pendant 90 jours.
L'événement de journal MailItemsAccessed remplace MessageBind
Lorsqu'une intrusion se produit, la première question qui se pose est : à quoi l'attaquant a-t-il accès ? Microsoft a divulgué l'événement "MailItemsAccessed" qui peut vous aider à déterminer si un attaquant a eu accès à des informations sensibles et l'étendue de la violation. Si un attaquant a simplement obtenu l'accès aux e-mails, MailItemsAccessed sera déclenché même s'il n'y a aucune preuve claire que l'attaquant a lu l'e-mail. MailItemsAccessed remplace l'ancien journal des événements MessageBind et expose les actions du propriétaire ou du délégué sur une boîte aux lettres. Il expose également les actions effectuées par un événement de synchronisation, pas seulement un événement de client de messagerie. Si l'intrusion se fait via une application de synchronisation tierce, vous pourrez également enquêter sur cet accès. Les événements MailItemsAccessed sont également plus silencieux dans votre journal qu'avec MessageBind.