Ensure emergency access account activity is monitored
Защо това е важно
Акаунтите за спешен достъп са предназначени за редки, критични ситуации като възстановяване след заключване на глобален администратор. Без мониторинг всеки вход от тези силно привилегировани акаунти може да остане незабелязан, което потенциално да позволи неоторизиран достъп или злоупотреба. Мониторингът гарантира, че всяка дейност веднага се отбелязва за преглед, предотвратявайки пропуски в сигурността.
Какво проверява Aether365
Aether365 проверява дали акаунтите за спешен достъп се наблюдават, като търси политики за дейности на Defender for Cloud Apps, които задействат сигнали при събития за вход. Тази проверка се появява в таблото на Aether365 под microsoft-365 checks.
Как да коригирате
- Влезте в портала Microsoft 365 Defender на адрес https://security.microsoft.com.
- В секцията Cloud Apps изберете Policies, след това Policy management.
- Кликнете върху All policies, след това изберете Create policy и изберете Activity policy.
- Въведете име за политиката и конфигурирайте следните настройки:
- Policy severity: High severity
- Category: Privileged accounts
- Act on: Single activity
- Select a filter: Activity type equals Log on
- Add a filter: User name equals
<Акаунт за спешен достъп>с роля, зададена на Any role
- Добавете всички акаунти за спешен достъп към тази политика (или създайте отделни политики за всеки).
- Изберете метод за известяване, като Send alert as email, и конфигурирайте получатели за уведомление.
Съответствие
- CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
- Източник: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
- Източник: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies
Свързани ресурси
- Monitor sign-in and audit logs for emergency access accounts
- Control cloud apps with policies in Defender for Cloud Apps