Ensure 'AuditBypassEnabled' is not enabled on mailboxes
Proč na tom záleží
Pokud je pro účet povoleno obcházení auditování mailboxu, může tento účet přistupovat ke všem mailboxům, ke kterým má oprávnění, aniž by generoval záznamy auditu. To znamená, že akce jako mazání zpráv nebo neoprávněný přístup zůstávají zcela nezaznamenány, což znemožňuje detekci vnitřních hrozeb nebo škodlivé činnosti. Pro IT administrátory to vytváří slepou skvrnu, která oslabuje schopnost reakce na incidenty a forenzní vyšetřování.
Co Aether365 kontroluje
Aether365 ověřuje, že vlastnost AuditBypassEnabled není povolena na žádných mailboxových účtech ve vaší organizaci Microsoft 365. Tato kontrola se zobrazí na řídicím panelu Aether365 v sekci microsoft-365 a označí účty, u kterých je obcházení auditování aktivní.
Jak opravit
- Připojte se k Exchange Online PowerShell pomocí účtu s odpovídající rolí správce (např. Organization Management).
- Spusťte následující rutinu pro identifikaci všech účtů s povoleným obcházením auditování:
Get-MailboxAuditBypassAssociation | Where-Object { $_.AuditBypassEnabled -eq $true } - U každého účtu, který by neměl mít obcházení auditování, toto obcházení odeberte spuštěním:
Set-MailboxAuditBypassAssociation -Identity "UserPrincipalName" -AuditBypassEnabled $false - U účtů, pro které existuje písemná výjimka (např. pro servisní účty nebo monitorovací nástroje, které obcházení vyžadují), tuto výjimku zdokumentujte a zajistěte pravidelné přezkumy.
Compliance
- CIS Microsoft 365 Foundations Benchmark 5.0.0 6.1.3 (E3 Level 1)
- Soulad s osvědčenými postupy auditního logování pro reakci na incidenty a forenzní připravenost