Microsoft hat Informationen über seine fortschrittlichen Überwachungstechniken veröffentlicht, die in seiner Microsoft 365-Plattform verwendet werden. Die Tools sind beeindruckend. Erstens ermöglicht es Unternehmen, Überwachungsprotokolle für alle Exchange-, SharePoint- und Azure Active Directory-Überwachungsprotokolle ein Jahr lang zu verwalten, wobei die Aufbewahrungsfrist für Überwachungsprotokolle mit einer Add-on-Lizenz auf 10 Jahre verlängert werden kann. Diese 10-jährige Aufbewahrung ermöglicht es Unternehmen, Untersuchungen durchzuführen und behördlichen, rechtlichen und internen Verpflichtungen nachzukommen. Alle anderen Überwachungsprotokolle werden standardmäßig 90 Tage lang aufbewahrt.
Das Protokollierungsereignis „MailItemsAccessed“ überschreibt MessageBind
Bei einem Einbruch stellt sich zunächst die Frage: Worauf hat der Angreifer Zugriff? Microsoft hat das Ereignis „MailItemsAccessed“ veröffentlicht, das Ihnen dabei helfen kann, festzustellen, ob ein Angreifer Zugriff auf vertrauliche Informationen erhalten hat und wie groß der Verstoß ist. Wenn sich ein Angreifer lediglich Zugriff auf die E-Mail-Nachrichten verschafft hat, wird MailItemsAccessed auch dann ausgelöst, wenn es keine eindeutigen Beweise dafür gibt, dass der Angreifer die E-Mail gelesen hat. MailItemsAccessed ersetzt das alte MessageBind-Ereignisprotokoll und macht Besitzer- oder Stellvertreteraktionen für ein Postfach verfügbar. Außerdem werden die Aktionen angezeigt, die von einem Synchronisierungsereignis und nicht nur von einem E-Mail-Client-Ereignis ausgeführt werden. Wenn der Eingriff über eine Synchronisierungs-App eines Drittanbieters erfolgt, können Sie diesen Zugriff auch untersuchen. MailItemsAccessed-Ereignisse sind in Ihrem Protokoll außerdem leiser als mit MessageBind.