Ensure the 'Restricted entities' report is reviewed weekly
Proč na tom záleží
Uživatelský účet omezený v odesílání e-mailů je často jasným indikátorem kompromitace. Útočníci používají kompromitované účty k rozesílání spamu nebo phishingových e-mailů, což může poškodit reputaci vaší organizace a vést k dalším bezpečnostním incidentům. Pravidelná týdenní kontrola sestavy Restricted Entities (omezené subjekty) vám umožní rychle identifikovat a napravit tyto účty dříve, než způsobí další škody.
Co Aether365 kontroluje
Tato kontrola ověřuje, že vaše organizace provádí kontrolu sestavy Restricted Entities alespoň jednou týdně, jak doporučuje CIS Microsoft 365 Foundations Benchmark. Na řídicím panelu Aether365 se tato položka zobrazuje v sekci kontrol Microsoft 365 a upozorňuje, pokud není detekována žádná nedávná aktivita kontroly.
Jak opravit
- Připojte se k Exchange Online PowerShell spuštěním příkazu:
Connect-ExchangeOnline - Po ověření spusťte následující rutinu pro zobrazení všech aktuálně omezených adres odesílatelů:
Get-BlockedSenderAddress - Zkontrolujte výstup, zda neobsahuje účty, které jsou neočekávaně omezeny, prošetřete je na známky kompromitace a proveďte nápravná opatření, jako je resetování hesel nebo zrušení podezřelých relací.
- Jakmile je účet zabezpečen, odstraňte jej ze seznamu omezených pomocí Exchange admin center nebo rutiny
Remove-BlockedSenderAddress.
Shoda s předpisy
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Control 2.1.12 (E3 Level 1)
- Odkazy na rámce: Microsoft 365 Defender, CIS Benchmark
Související zdroje
- Reakce na kompromitovaný e-mailový účet
- Odebrání uživatele z portálu omezených uživatelů po spamu
- Dokumentace k Get-BlockedSenderAddress v PowerShellu