Ensure 'AuditBypassEnabled' is not enabled on mailboxes
Warum dies wichtig ist
Wenn eine Postfach-Prüfungsumgehung für ein Konto aktiviert ist, kann dieses Konto auf jedes Postfach zugreifen, für das es berechtigt ist, ohne dass dabei Überwachungsprotokolleinträge erstellt werden. Das bedeutet, dass Aktionen wie das Löschen von Nachrichten oder unbefugter Zugriff vollständig unaufgezeichnet bleiben, was die Erkennung von Insider-Bedrohungen oder böswilligen Aktivitäten unmöglich macht. Für IT-Administratoren entsteht dadurch ein blinder Fleck, der die Vorfallsbehandlung und forensische Untersuchungen beeinträchtigt.
Was Aether365 prüft
Aether365 überprüft, ob die Eigenschaft AuditBypassEnabled bei keinem Postfachkonto in Ihrer Microsoft 365-Organisation aktiviert ist. Diese Prüfung wird im Aether365-Dashboard im Bereich microsoft-365 angezeigt und kennzeichnet Konten, bei denen die Prüfungsumgehung aktiv ist.
Behebung
- Stellen Sie mithilfe eines Kontos mit der entsprechenden Administratorrolle (z.B. Organisationsverwaltung) eine Verbindung zu Exchange Online PowerShell her.
- Führen Sie das folgende Cmdlet aus, um alle Konten mit aktivierter Prüfungsumgehung zu identifizieren:
Get-MailboxAuditBypassAssociation | Where-Object { $_.AuditBypassEnabled -eq $true } - Entfernen Sie für jedes Konto, bei dem die Prüfungsumgehung nicht erforderlich sein sollte, diese mit folgendem Befehl:
Set-MailboxAuditBypassAssociation -Identity "UserPrincipalName" -AuditBypassEnabled $false - Dokumentieren Sie für Konten mit einer schriftlichen Ausnahmegenehmigung (z.B. für Dienstkonten oder Überwachungstools, die die Umgehung benötigen) die Ausnahme und stellen Sie regelmäßige Überprüfungen sicher.
Compliance
- CIS Microsoft 365 Foundations Benchmark 5.0.0 6.1.3 (E3 Stufe 1)
- Entspricht den Best Practices für die Überwachungsprotokollierung bei der Vorfallsbehandlung und forensischen Bereitschaft