Ensure the 'Restricted entities' report is reviewed weekly

Hvorfor Dette Er Vigtigt

En brugerkonto, der er blokeret for at sende e-mails, er ofte et tydeligt tegn på kompromittering. Angribere bruger kompromitterede konti til at sende spam eller phishing-e-mails, hvilket kan skade organisationens omdømme og føre til yderligere sikkerhedshændelser. Regelmæssig ugentlig gennemgang af rapporten Restricted Entities gør det muligt hurtigt at identificere og afhjælpe disse konti, før de forårsager yderligere skade.

Hvad Aether365 Kontrollerer

Denne kontrol verificerer, at din organisation gennemgår rapporten Restricted Entities mindst ugentligt, som anbefalet af CIS Microsoft 365 Foundations Benchmark. I Aether365-dashboardet vises dette under sektionen Microsoft 365 checks, og det markeres, hvis der ikke registreres nogen ny gennemgangsaktivitet.

Sådan Retter Du Det

1. Opret forbindelse til Exchange Online PowerShell ved at køre kommandoen: Connect-ExchangeOnline
2. Når du er godkendt, skal du køre følgende cmdlet for at se alle aktuelt blokerede afsenderadresser: Get-BlockedSenderAddress
3. Gennemgå outputtet for eventuelle konti, der er uventet blokeret, undersøg dem for tegn på kompromittering, og tag afhjælpende skridt såsom nulstilling af adgangskoder eller tilbagekaldelse af mistænkelige sessioner.
4. Når en konto er sikret, skal du fjerne den fra blokeringslisten ved hjælp af Exchange admin center eller cmdlet'en Remove-BlockedSenderAddress.

Overholdelse

• CIS Microsoft 365 Foundations Benchmark 3.1.0, Control 2.1.12 (E3 Level 1)
• Referencer til rammeværk: Microsoft 365 Defender, CIS Benchmark

Relaterede Ressourcer

• Responding to a Compromised Email Account
• Removing a User from Restricted Users Portal After Spam
• Get-BlockedSenderAddress PowerShell Documentation

Microsoft references

• Responding to a compromised email account
• Removing user from restricted users portal after spam
• Get blockedsenderaddress