Microsoft призналась, что потеряла часть клиентских логов безопасности

Microsoft предупредила ряд корпоративных клиентов о последствиях бага, из-за которого корпорация потеряла критически важные логи. Как правило, организации ориентируются на такие записи, если необходимо выявить несанкционированный доступ и подозрительную активность.

Первым на проблему указало издание Business Insider, сославшееся на официальное уведомление Microsoft.

Судя по всему, баг затронул логи безопасности в период со 2 по 19 сентября. В них содержалась информация о мониторинге подозрительного трафика, странного поведения и попыток аутентификации в сети.

По словам самой Microsoft, инцидент затронул следующие сервисы:

• Microsoft Entra: логи, в которые записывались попытки входа и активность, оказались неполными.
• Приложения Azure Logic: провалы в данных телеметрии, затрагивающие настройки Log Analytics, Resource Logs и Diagnostic.
• API Azure Healthcare: частично обрывистые логи диагностики.
• Microsoft Sentinel: провалы в логах, связанных с безопасностью системы. Могут затруднить анализ данных и детектирование киберугроз.
• Azure Monitor: неполные результаты при выполнении запросов, основанных на данных логов.
• Azure Trusted Signing: частично обрывистые логи SignTransaction и SignHistory.
• Azure Virtual Desktop: неполные записи в Application Insights.
• Power Platform: частично пропали отчёты порталов Analytics, Admin и Maker.

Техногигант из Редмонда уточнил, что баг возник в результате устранения другой проблемы, связанной со службой сбора логов.