Ensure emergency access account activity is monitored

Warum dies wichtig ist

Notfallkonten sind für seltene, kritische Situationen vorgesehen, wie z. B. die Wiederherstellung nach einer globalen Administratorsperre. Ohne Überwachung könnte jede Anmeldung von diesen hochprivilegierten Konten unbemerkt bleiben, was potenziell unbefugten Zugriff oder Missbrauch ermöglicht. Die Überwachung stellt sicher, dass jede Aktivität sofort zur Überprüfung gemeldet wird, um Sicherheitslücken zu vermeiden.

Was Aether365 prüft

Aether365 überprüft, ob Notfallkonten überwacht werden, indem nach Richtlinien in Defender for Cloud Apps gesucht wird, die bei Anmeldeereignissen Warnungen auslösen. Diese Prüfung erscheint im Aether365-Dashboard unter den microsoft-365-Prüfungen.

Behebung

1. Melden Sie sich beim Microsoft 365 Defender Portal unter https://security.microsoft.com an.
2. Wählen Sie im Abschnitt Cloud Apps die Option Richtlinien und dann Richtlinienverwaltung.
3. Klicken Sie auf Alle Richtlinien, wählen Sie Richtlinie erstellen und dann Aktivitätsrichtlinie.
4. Geben Sie einen Namen für die Richtlinie ein und konfigurieren Sie die folgenden Einstellungen:
   • Richtlinienschweregrad: Hoher Schweregrad
   • Kategorie: Privilegierte Konten
   • Reagieren auf: Einzelne Aktivität
   • Filter auswählen: Aktivitätstyp ist gleich „Anmelden“
   • Filter hinzufügen: Benutzername ist gleich <Emergency access account> mit der Rolle Beliebige Rolle
5. Fügen Sie alle Notfallkonten zu dieser Richtlinie hinzu (oder erstellen Sie separate Richtlinien für jedes Konto).
6. Wählen Sie eine Benachrichtigungsmethode wie Warnung als E-Mail senden und konfigurieren Sie die Empfänger für die Benachrichtigung.

Compliance

• CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
• Referenz: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
• Referenz: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies

Zugehörige Ressourcen

• Überwachung von Anmelde- und Überwachungsprotokollen für Notfallkonten
• Steuern von Cloud-Apps mit Richtlinien in Defender for Cloud Apps

Microsoft references

• Security emergency access
• Control cloud apps with policies