Ensure the 'Restricted entities' report is reviewed weekly
Warum dies wichtig ist
Ein Benutzerkonto, das vom Senden von E-Mails ausgeschlossen ist, ist oft ein eindeutiges Anzeichen für eine Kompromittierung. Angreifer nutzen kompromittierte Konten, um Spam oder Phishing-E-Mails zu versenden, was den Ruf Ihres Unternehmens schädigen und zu weiteren Sicherheitsvorfällen führen kann. Durch eine regelmäßige wöchentliche Überprüfung des Restricted Entities-Berichts können Sie diese Konten schnell identifizieren und bereinigen, bevor sie weiteren Schaden anrichten.
Was Aether365 prüft
Diese Prüfung stellt sicher, dass Ihr Unternehmen den Restricted Entities-Bericht mindestens wöchentlich überprüft, wie es im CIS Microsoft 365 Foundations Benchmark empfohlen wird. Im Aether365-Dashboard erscheint diese Prüfung im Abschnitt Microsoft 365-Prüfungen und meldet, wenn keine kürzliche Überprüfungsaktivität erkannt wurde.
Behebung
- Stellen Sie eine Verbindung zur Exchange Online PowerShell her, indem Sie den folgenden Befehl ausführen:
Connect-ExchangeOnline - Führen Sie nach der Authentifizierung das folgende Cmdlet aus, um alle derzeit gesperrten Absenderadressen anzuzeigen:
Get-BlockedSenderAddress - Überprüfen Sie die Ausgabe auf unerwartet gesperrte Konten, untersuchen Sie diese auf Anzeichen einer Kompromittierung und ergreifen Sie Maßnahmen zur Bereinigung, wie das Zurücksetzen von Passwörtern oder das Widerrufen verdächtiger Sitzungen.
- Sobald ein Konto gesichert ist, entfernen Sie es über das Exchange admin center oder das Cmdlet
Remove-BlockedSenderAddressaus der Sperrliste.
Compliance
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Kontrolle 2.1.12 (E3 Level 1)
- Framework-Referenzen: Microsoft 365 Defender, CIS Benchmark
Verwandte Ressourcen
- Reagieren auf ein kompromittiertes E-Mail-Konto
- Entfernen eines Benutzers aus dem Portal für gesperrte Benutzer nach Spam
- Get-BlockedSenderAddress PowerShell-Dokumentation