Por qué necesita un sistema de registro de actividad en Microsoft 365 y cómo conseguirlo

El mismo día que Microsoft anunció el cambio de marca de Azure Active Directory a Entra ID y cuando anunció que estaba rastreando una vulnerabilidad de día cero de Office/HTML para la que no había parche disponible, la compañía también dejó caer que un atacante chino había atentado contra algunos de sus clientes del Gobierno estadounidense.

Utilizando un certificado de firma de cuenta de Microsoft robado a un cliente, el pirata informático falsificó el proceso de autenticación para obtener acceso a las cuentas de correo del Gobierno, pero, ¿cómo determinó Microsoft que había un problema? No lo hizo. La señal de alarma la dieron los clientes del Gobierno que habían pagado por las capacidades de registro premium y pudieron rastrear quién había accedido al contenido de sus buzones de correo. La situación puso de relieve la enorme importancia del logging o registro y de conocer qué funciones vienen de serie y cuáles se ofrecen a través de servicios premium.

El logging ayuda a determinar hasta dónde ha llegado un atacante

Primero, un poco de historia. Hace años, los investigadores encontraron una API que rastreaba las actividades de las cuentas y exponía quién había obtenido acceso a un elemento de correo. En un compromiso de correo electrónico empresarial, se podía determinar si un atacante había obtenido acceso a la red, pero a menudo no se sabía si había abierto o tenido acceso a cierta información o si simplemente parecía que lo había hecho.

Una vez que esta información salió a la luz, los investigadores construyeron una herramienta que sacaría a la luz estos datos. En su día se dijo que Microsoft planeaba lanzar la llamada herramienta "Magic Unicorn" que permitiría hacer un seguimiento detallado de la actividad de los buzones de Office 365 y hacerlo público. Unos años después y tras unos cuantos cambios de nombre, la API que otorgaba la capacidad de saber lo que hacía un atacante se añadió a Microsoft 365 en forma de licencia en los niveles E5 o G5. La auditoría del buzón MailItemsAccessed ahora tiene licencia para aquellos que tienen Microsoft 365 premium.

Afortunadamente para el resto de nosotros, este registro ya existía cuando el atacante chino accedió a Exchange Online. El registro que estaba disponible en esa versión de Exchange Online les permitió saber que los atacantes habían estado en el sistema.

Los atacantes obtuvieron acceso a través de una cuenta a nivel de consumidor

Como se indica en la documentación de CISA, "una agencia de FCEB observó eventos MailItemsAccessed con un ClientAppID y AppID inesperados en los registros de auditoría de Microsoft 365". El evento MailItemsAccessed se genera cuando los usuarios con licencia acceden a elementos en buzones de Exchange Online utilizando cualquier protocolo de conectividad desde cualquier cliente. La agencia FCEB consideró sospechosa esta actividad porque el AppID observado no accedía normalmente a elementos de buzón en su entorno. La agencia informó de la actividad a Microsoft y a CISA.

Ha salido a la luz que los atacantes de alguna manera obtuvieron acceso a una clave de firma de cuenta de Microsoft a nivel de consumidor que luego utilizaron para construir un token de autenticación empresarial. Desde entonces, Microsoft ha revocado estas claves y ha puesto en marcha una infraestructura para garantizar que el acceso a nivel de consumidor no pueda utilizarse para falsificar la autenticación en activos de empresa. También parece que van a revisar procesos adicionales para garantizar que esto no vuelva a ocurrir en el futuro.

Microsoft ha ampliado el acceso al registro

Esto también ha llevado a Microsoft a dar el paso valiente de garantizar que todos los clientes dispongan de este nivel de registro sin tener que pagar por un nivel premium para obtener acceso. La capacidad de saber si realmente se ha producido una infracción es un elemento clave de cualquier servicio y no debería limitarse a aquellos que pueden pagar por tales niveles de información. El 19 de julio de 2023, Microsoft anunció que introducirá gradualmente el acceso a registros de seguridad en la nube más amplios para los clientes de todo el mundo sin coste adicional.

Microsoft empezará a desplegar estas mejoras en los loggings a partir de septiembre, pero hay formas de obtener acceso a estos archivos de registro ahora y evaluar su información mientras tanto. En primer lugar, utilice una versión de prueba: si cree que ha sufrido una infracción y no dispone de esta licencia, le interesará saber que el registro está disponible para poder suscribirse a una versión de prueba.

Como aconseja la propia Microsoft "Si no es cliente de E5 en este momento, utilice la prueba de 90 días de las soluciones Microsoft Purview para explorar cómo las capacidades adicionales de Purview pueden ayudar a su organización a gestionar la seguridad de los datos y las necesidades de cumplimiento". Empiece ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview". Incluso si dispone de E5 para algunos de sus usuarios, tenga en cuenta que su licencia es por buzón de correo. Así, por ejemplo, los buzones compartidos necesitarán una licencia E5 o una licencia de prueba activada incluso para los buzones compartidos.

Acceso al registro sin licencia E5

Incluso sin una licencia E5, se le informará de algunos eventos de registro, como el acceso de la entidad de seguridad al buzón de correo. Los eventos de autenticación de SP y acceso al buzón deberían verse en los registros de eventos, pero no en MailItemsAccessed hasta que esto se añada en septiembre.

En un comunicado de la compañía, el arquitecto de soluciones de seguridad Nathan McNulty señala que incluso si tiene una licencia E5, no significa que se haya habilitado la auditoría. Aunque el logging está ahora activado por defecto, si es un cliente antiguo de Microsoft 365 puede que no lo esté. Por lo tanto, querrá revisar proactivamente sus recomendaciones, especialmente si tiene un entorno mixto en el que algunos tienen licencia para E5 y otros no.

Qué incluye el registro premium de Microsoft 365

El registro premium clave incluye Mailitemsacessed, SearchQueryInitiated y Enviar. Como se ha indicado anteriormente, aunque el registro de auditoría de buzones de correo está activado de forma predeterminada para todas las organizaciones, hasta septiembre solo los usuarios con licencias que incluyen Auditoría (licencias premium o E5/G5) devuelven eventos de registro de auditoría de buzones de correo en las búsquedas de registro de auditoría en el portal de cumplimiento de normativas Microsoft Purview o a través de la API de actividad de administración de Office 365 de forma predeterminada.

Utilice una versión de prueba para empezar a evaluar el proceso de registro. Tenga en cuenta que existen limitaciones: en concreto, MailItemsAccessed está limitado, por lo que es posible que los eventos no estén completos. Es posible que tenga que hacer inferencias sobre lo ocurrido y no dispondrá de registros de cada acceso individual a los elementos. Hay matices y comprensión que usted necesita para asegurarse de que su personal es consciente de. Por lo tanto, asegúrese de que el tiempo de laboratorio está presupuestado para comprender adecuadamente lo que este nuevo registro proporcionará en términos de información y recursos.

Si hay algo bueno que puede haber ocurrido como consecuencia de la intrusión china es que ha animado a Microsoft a cambiar su postura sobre el registro e incluirlo en todos los niveles de Microsoft 365. Mi recomendación es que para cualquiera de sus productos de Microsoft, o incluso cualquier otro producto de proveedor de nube, empiece a exigir ciertos niveles de registro y seguridad en todos los productos. Así que aproveche esta oportunidad para ponerse en contacto con sus proveedores y comprobar si pueden proporcionarle orientación en caso de que se produzca un ataque a sus recursos. Mientras tanto, yo revisaría recursos como los puntos de referencia del Center for Internet Security que pueden ayudarle en la implantación de recursos en la nube. Por último, revise su política actual de logging y pregúntese si sería capaz de investigar este tipo de ataques.