Microsoft предупреждает, что потеряла журналы безопасности своих клиентов на месяц

Microsoft Corp. исправила ошибку в программном обеспечении, из-за которой компания потеряла некоторые журналы безопасности на протяжении нескольких недель в сентябре.

В заявлении для TechCrunch гигант из Редмонда подтвердил, что устранил проблему с ошибкой, откатив изменение сервиса, и уведомляет всех своих пострадавших клиентов.

“Мы устранили проблему, откатив изменение сервиса. Мы связались со всеми пострадавшими клиентами и предоставим поддержку по мере необходимости,” — сказал Джон Шиган, корпоративный вице-президент Microsoft, в заявлении для TechCrunch.

По словам одного из руководителей Microsoft, проблема была вызвана операционной ошибкой в внутреннем мониторинговом агенте компании, которая помешала загрузке данных журнала на внутреннюю платформу логирования компании.

Для тех, кто не в курсе, эта проблема была впервые сообщена Business Insider в начале этого месяца. В статье говорилось, что Microsoft, по всей видимости, уведомляла своих клиентов о том, что не смогла последовательно собирать данные журнала для нескольких ключевых продуктов безопасности почти месяц, что могло повлиять на способность клиентов обнаруживать угрозы и генерировать уведомления о безопасности.

С 2 по 19 сентября “ошибка в одном из внутренних мониторинговых агентов Microsoft привела к сбою некоторых агентов при загрузке данных журнала на нашу внутреннюю платформу логирования,” — написала Microsoft в уведомлении, отправленном своим пострадавшим клиентам.

Журналы являются важными записями событий в системе, такими как попытки входа в сеть, доступ к объектам и удаление файлов.

Они могут помочь защитникам сети выявить подозреваемые вторжения. Однако трудно идентифицировать и отслеживать проблемы без надлежащей записи журналов, что может привести к пропуску потенциальных случаев вторжения.

“Эта проблема не повлияла на время безотказной работы каких-либо услуг или ресурсов, доступных клиентам — она затронула только сбор событий журнала. Кроме того, эта проблема не связана с каким-либо нарушением безопасности,” — объясняло уведомление.

Затронутые продукты включают Microsoft Entra, сервис управления идентификацией; Microsoft Sentinel, продукт управления информацией и событиями безопасности; Microsoft Defender for Cloud и Microsoft Purview, продукт предотвращения потери данных.

“Клиенты Microsoft Sentinel могли столкнуться с потенциальными пробелами в журналах или событиях, связанных с безопасностью, что могло повлиять на способность клиентов анализировать данные, обнаруживать угрозы или генерировать уведомления о безопасности,” — предупреждало уведомление.

Для получения дополнительной информации вы можете ознакомиться с Предварительным обзором инцидента (PIR), который был отправлен пострадавшим клиентам.

По данным Microsoft, сбой в логировании был вызван ошибкой, случайно введенной при устранении другой проблемы в сервисе сбора логов компании.

Компания объяснила, что, хотя они следовали безопасным практикам развертывания при исправлении ошибки, они не смогли сразу обнаружить новую проблему.

В результате им потребовалось несколько дней, чтобы идентифицировать проблему.