Mailbox auditing SHALL be enabled.
Защо това е важно
Когато одитирането на пощенски кутии е деактивирано, вашата организация губи видимост върху действията на потребителите като изтриване на съобщения, преместване на папки и промени в разрешенията. Тази сляпа зона затруднява откриването на компрометирани акаунти, вътрешни заплахи или нарушения на съответствието. Активирането на одитиране на пощенски кутии предоставя критична съдебна следа за разследвания на сигурността и регулаторни одити.
Какво проверява Aether365
Aether365 проверява дали одитирането на пощенски кутии е активирано за всички потребителски пощенски кутии във вашия Microsoft 365 клиент. Тази проверка се появява в таблото на Aether365 в секцията microsoft-365 checks.
Как да отстраните
- Отворете портала Microsoft 365 Defender и отидете на Audit.
- Под Solutions изберете Audit, а след това Audit log search.
- Кликнете върху Turn on auditing, ако все още не е активирано.
- За съществуващи пощенски кутии използвайте модула Exchange Online PowerShell, за да изпълните:
Set-OrganizationConfig -AuditDisabled $false. - За да одитирате всички потребителски пощенски кутии, изпълнете:
Set-Mailbox -Identity <MailboxIdentity> -AuditEnabled $true. - Потвърдете промяната, като изпълните:
Get-Mailbox -ResultSize Unlimited | Where-Object {$_.AuditEnabled -eq $false}.
Съответствие
- CIS CISA.MS.EXO.13.1
- Насоки на CISA (Агенция за киберсигурност и сигурност на инфраструктурата)