Ensure 'AuditDisabled' organizationally is set to 'False'

Hvorfor dette er vigtigt

Hvis postkasseauditering er deaktiveret på organisationsniveau, mister dit sikkerhedsteam indblik i kritiske postkasseaktiviteter såsom oprettelse af indbakke-regler, mappeadgang eller beskadigelse af meddelelser. Uden disse auditlogge kan hændelsesrespondenter og efterforskere ikke spore ondsindede handlinger som dataeksfiltrering eller privilegieudvidelse, der udføres gennem kompromitterede postkasser. Hvis du håndhæver auditering, sikrer du, at standard postkassehandlinger altid logges, hvilket giver afgørende beviser for at opdage og undersøge sikkerhedshændelser.

Hvad Aether365 kontrollerer

Aether365 kontrollerer, at egenskaben AuditDisabled på organisationens Exchange Online-konfiguration er sat til False. Denne kontrol vises i dit Aether365-dashboard under sektionen Microsoft 365 sikkerhedskontroller.

Sådan rettes

1. Åbn Exchange Online PowerShell ved at køre Connect-ExchangeOnline.
2. Kør følgende kommando for at aktivere postkasseauditering på organisationsniveau:

   Set-OrganizationConfig -AuditDisabled $false

3. Bekræft ændringen ved at køre Get-OrganizationConfig | Format-List AuditDisabled og kontrollere, at værdien er False.

Overholdelse

• CIS Microsoft 365 Foundations Benchmark 5.0.0 – Afsnit 6.1.1 (E3 Niveau 1)

Relaterede ressourcer

• Lær mere om postkasseauditering i Microsoft 365
• Set-OrganizationConfig PowerShell cmdlet-referencen

Microsoft references

• Audit mailboxes
• Set organizationconfig