Weerbaar tegen CEO-Fraude met Logs in Microsoft365

Veel organisaties kunnen maar 7 dagen terugkijken in hun Microsoft365 logboeken. Veel te weinig, om adequaat te reageren op incidenten zoals CEO-Fraude en Ransomware. Belangrijk dus om te begrijpen welke mogelijkheden er zijn om die termijn uit te breiden.

Logging tegen CEO-Fraude

De dreiging van CEO-fraude is aan de orde van de dag. Hackers imiteren een, meestal hooggeplaatste, functionaris in een organisatie om een ander te misleiden, doorgaans om een betaling uit te voeren. Indien goed uitgevoerd, kan het nog wel eens duren voordat de hack wordt opgemerkt. En op dat moment, willen we graag terug kijken in het logboek van e-mail en het IT systeem om te begrijpen hoe het gebeurd is. En of de hacker nog steeds toegang heeft.

Dat terugzoeken, daar hebben we logs voor nodig. In het geval uw organisatie gebruik maakt van Microsoft365, zijn de audit en sign-in logs daarbij heel relevant. Deze vertellen wanneer, hoe en waarvandaan iemand op een bepaald account is aangemeld. Deze logboeken zijn beschikbaar in het onderdeel Azure Active Directory, ofwel Azure AD. Dit is het onderdeel van de Microsoft dienst waarin de gebruikersaccounts worden beheerd van je collega’s, dus loginnamen en wachtwoorden, en zo ook een logboek wordt bijgehouden van hun aanmeldpoginen en handelingen.

Standaard: 7 dagen

Organisaties die Microsoft365 eigenlijk alleen gebruiken als e-mail dienst (en misschien een beetje teams en onedrive), hebben doorgaans een goedkope/beperkte licentie. Bijvoorbeeld Business Basic of Exchange Online. Aan die licentie types in de basis vorm van Azure AD verbonden: Azure AD Free. In deze vorm worden alle sign-in en audit logs slechts voor 7 dagen bewaard.

7 dagen is echt kort. Het zal vaak voorkomen dat een incident niet binnen die tijd wordt ontdekt en/of al eerder is begonnen. Vragen als “hoe is dit gebeurd?” of “heeft de hacker nog andere schadelijke handelingen uitgevoerd?” zijn dan nauwelijks te beantwoorden. En zeker met strengere eisen met betrekking tot incident reporting door NIS2, is het verstandig om die retentie te vergroten.

Azure AD P1 of P2: 30 dagen

Om logs voor 30 dagen te behouden, is een uitbreiding op de Azure AD licentie nodig naar P1 of P2. Dit kan door dit specifieke onderdeel aan te schaffen, of door een uitgebreider licentiepakket waar het al bij inbegrepen zit.

Een licentie voor Business Premium of E3 levert onder andere Azure AD P1 op, alsmede een heleboel andere nuttige functionaliteit.

Azure AD P2 gaat nog iets verder, en slaat logs voor ‘risky sign-ins’ voor 90 dagen op. Dat zijn gevallen waar Microsoft zelf al heeft vastgesteld dat de aanmeldpoging potentieel verdacht is.

Zie hier meer informatie over de verschillen tussen Free, P1 en P2 licenties.

Sentinel: 90 dagen

Wie nog langer wil terug kunnen kijken, zal de logs die worden gegenereerd moeten opslaan in een aparte log opslag. Hier biedt Microsoft ook een oplossing voor in de vorm van hun storage abonnementen. En om de logs goed te kunnen doorzoeken of real-time alarm te slaan bij verdachte handelingen, is Microsoft Sentinel een heel waardevol hulpmiddel. Dit is het SIEM product van Microsoft, wat dus ook specifiek bedoeld is om logs te verzamelen en doorzoeken. Het is onderdeel van elke Microsoft licentie alleen staat niet standaard aan.

De data die naar Microsoft Sentinel wordt verzonden, kan in sommige gevallen zonder kosten voor 90 dagen worden opgeslagen. Maar dat moet je wel zo configureren. Wil je nog langer, of logbronnen bewaren die buiten scope van de gratis regeling vallen, dan zullen wel kosten in rekening gebracht worden. Om een inschattig te maken van hoe dat in je eigen situatie uit zal vallen, is het mogelijk een Trial subscription te maken, waardoor je 3 maanden gratis kunt testen en kunt zien hoeveel data jouw omgeving verstookt.

Lees hier meer over Sentinel en gratis Data Sources.

Conclusie

We adviseren alle organisaties om de stap naar Azure AD P1 te zetten. Dit is de kosten zonder twijfel waard. Wil je nog meer doen met de logs en met Sentinel testen, neem dan contact met ons op. We helpen graag.

Of maak het jezelf makkelijk, en kies voor Attic Security!