Ensure the 'Restricted entities' report is reviewed weekly
Защо това е важно
Потребителски акаунт, на когото е забранено да изпраща имейли, често е ясен признак за компрометиране. Нападателите използват компрометирани акаунти за разпращане на спам или фишинг имейли, което може да навреди на репутацията на организацията ви и да доведе до допълнителни инциденти със сигурността. Редовният седмичен преглед на отчета за ограничени обекти (Restricted Entities report) ви позволява бързо да идентифицирате и отстраните тези акаунти, преди да причинят повече вреди.
Какво проверява Aether365
Тази проверка потвърждава, че организацията ви преглежда отчета за ограничени обекти поне веднъж седмично, както се препоръчва от CIS Microsoft 365 Foundations Benchmark. В таблото за управление на Aether365 това се появява в секцията за проверки на Microsoft 365 и сигнализира, ако не се открие скорошна активност по преглед.
Как да коригирате
- Свържете се с Exchange Online PowerShell, като изпълните командата:
Connect-ExchangeOnline - След удостоверяване изпълнете следния cmdlet, за да видите всички адреси на изпращачи, които в момента са ограничени:
Get-BlockedSenderAddress - Прегледайте резултатите за акаунти, които са неочаквано ограничени, разследвайте ги за признаци на компрометиране и предприемете действия за отстраняване, като например нулиране на пароли или отмяна на подозрителни сесии.
- След като акаунтът бъде защитен, премахнете го от списъка с ограничени чрез Exchange admin center или cmdlet-а
Remove-BlockedSenderAddress.
Съответствие
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Контрол 2.1.12 (E3 Ниво 1)
- Препратки към рамки: Microsoft 365 Defender, CIS Benchmark
Свързани ресурси
- Реагиране на компрометиран имейл акаунт
- Премахване на потребител от портала за ограничени потребители след спам
- Документация за Get-BlockedSenderAddress PowerShell