Alerts SHOULD be sent to a monitored address or incorporated into a security information and event management (SIEM) system.
Hvorfor Det Er Vigtigt
Uden korrekt routing af adviseringer kan kritiske sikkerhedshændelser i dit Microsoft 365-miljø forblive uopdagede. En uovervåget alertkø betyder, at du kan gå glip af indikatorer på kompromittering, uautoriserede adgangsforsøg eller politikbrud, hvilket efterlader din organisation sårbar over for længerevarende angrebsforløb.
Hvad Aether365 Kontrollerer
Aether365 kontrollerer, at dine Microsoft 365-alerter er konfigureret til at videresende til en overvåget e-mailadresse eller til et Security Information and Event Management (SIEM)-system. Denne kontrol vises i Aether365-dashboardet under microsoft-365 service checks.
Sådan Reparerer Du
- Log ind på Microsoft 365 Defender-portalen på https://security.microsoft.com.
- Gå til Email & collaboration > Policies & rules > Alert policies.
- Gennemgå hver alertpolitik og bekræft, at feltet Email recipients indeholder en overvåget postkasse eller distributionsgruppe.
- Til SIEM-integration skal du konfigurere en alert-webhook eller bruge Microsoft 365 Defender-API'erne til at videresende alerter til dit SIEM-værktøj.
- Test alertlevering ved at udløse en eksempelalert og bekræfte modtagelse i den angivne overvågningsdestination.
Overholdelse
- CIS: CISA.MS.EXO.16.2
- Framework: CIS