Mailbox auditing SHALL be enabled.
Warum dies wichtig ist
Wenn die Postfachüberwachung deaktiviert ist, verliert Ihre Organisation die Transparenz über Benutzeraktionen wie das Löschen von Nachrichten, Verschieben von Ordnern und Änderungen von Berechtigungen. Diese blinden Flecken erschweren die Erkennung kompromittierter Konten, interner Bedrohungen oder Compliance-Verstöße. Die Aktivierung der Postfachüberwachung schafft eine entscheidende forensische Spur für Sicherheitsermittlungen und behördliche Prüfungen.
Was Aether365 prüft
Aether365 überprüft, ob die Postfachüberwachung für alle Benutzerpostfächer in Ihrem Microsoft 365-Mandanten aktiviert ist. Diese Prüfung erscheint im Aether365-Dashboard im Bereich microsoft-365-checks.
Behebung
- Öffnen Sie das Microsoft 365 Defender-Portal und navigieren Sie zu Audit.
- Wählen Sie unter Lösungen die Option Audit und dann Audit-Logsuche.
- Klicken Sie auf Überwachung aktivieren, falls diese noch nicht aktiviert ist.
- Für vorhandene Postfächer verwenden Sie das Exchange Online PowerShell-Modul, um folgenden Befehl auszuführen:
Set-OrganizationConfig -AuditDisabled $false. - Um die Überwachung für alle Benutzerpostfächer zu aktivieren, führen Sie aus:
Set-Mailbox -Identity <PostfachIdentität> -AuditEnabled $true. - Bestätigen Sie die Änderung durch Ausführen von:
Get-Mailbox -ResultSize Unlimited | Where-Object {$_.AuditEnabled -eq $false}.
Compliance
- CIS CISA.MS.EXO.13.1
- Richtlinien der CISA (Cybersecurity and Infrastructure Security Agency)