微软云计算服务出现重大安全失误 因BUG导致Azure客户安全日志不完整

对企业来说云计算平台提供的安全审计功能至关重要，因为可以通过安全日志检查潜在的安全风险，例如某些账户的错误登录信息。

然而 Microsoft Azure 服务日前出现重大安全失误，其部署的新版本内部监控代理存在错误导致日志收集服务中的数据不完整。

受影响的平台或服务包括：

• 平台日志服务 Microsoft Azure Logic Apps
• 平台日志服务 Microsoft Azure Healthcare API
• 安全警报服务 Microsoft Sentinel
• 诊断设置路由到监控的 Microsoft Azure Monitor
• 用于记录不完整的 SignTransaction 和 SignHistory 日志的 Azure 受信任签名
• 用于记录登录 Application Insights 的 Azure 虚拟桌面
• 用于报告数据差异的 Power Platform
• 用于记录登录日志和活动日志的 Microsoft Entra (即原来的 Microsoft Azure Activity)

问题发生的初步原因：

从 2024 年 9 月 2 日 23:00 (UTC+0) 开始，微软内部监控代理的某个错误导致部分代理在将日志上传到内部日志平台时出现故障，这个错误导致受影响的平台日志数据部分出现不完整。

到 9 月 5 日微软发现存在某些异常并开始着手调查，直到 9 月 30 日微软云工程团队针对该问题提出了一种临时且部分有效的解决方案，即定期重新启动代理服务器以重启日志的收集过程。

但在此期间 (即 9 月 2 日～9 月 30 日) 期间已经丢失的日志无法恢复，这意味着对企业来说几乎整个 9 月份的完整安全日志都无法查看，无法根据日志中记录的风险进行针对性防御。

尤其是由于 Microsoft Sentinel 安全警报日志也受影响，这将导致从该服务流向 Microsoft Purview 和 Microsoft Defender for Cloud 的 Microsoft Entra 日志也受影响，进而影响企业分析数据、检测威胁和生成安全警报的能力。

举个例子：在受影响的时段内有攻击者通过钓鱼方式远程登录了企业员工的账号，假设黑客使用的是远程 IP 地址，则安全警告检测到异地登录应该会发出警告，但因为这部分日志可能丢失了，因此企业不会收到与之相关的警告。

目前微软还未透露此次故障的根本原因，微软称将在此次事故完成调查后公布调查报告，至于后续是否有永久性、有效的解决方案暂时还不清楚，毕竟微软不太可能长期靠着临时解决方案也就是重启服务器解决问题吧。