Ensure 'AuditDisabled' organizationally is set to 'False'

Por que Esto Importa

Si la auditoría de buzones está deshabilitada a nivel organizacional, su equipo de seguridad pierde visibilidad sobre actividades críticas del buzón, como la creación de reglas de la bandeja de entrada, el acceso a carpetas o la manipulación de mensajes. Sin estos registros de auditoría, los respondedores de incidentes y los investigadores forenses no pueden rastrear acciones maliciosas como la exfiltración de datos o la escalada de privilegios ejecutadas a través de buzones comprometidos. Exigir la auditoría garantiza que las acciones predeterminadas del buzón siempre se registren, proporcionando evidencia esencial para detectar e investigar incidentes de seguridad.

Que Verifica Aether365

Aether365 verifica que la propiedad AuditDisabled en la configuración de Exchange Online de la organización esté establecida en False. Esta comprobación aparece en el panel de Aether365 bajo la sección de comprobaciones de seguridad de Microsoft 365.

Como Solucionarlo

1. Abra Exchange Online PowerShell ejecutando Connect-ExchangeOnline.
2. Ejecute el siguiente comando para habilitar la auditoría de buzones a nivel organizacional:

   Set-OrganizationConfig -AuditDisabled $false

3. Confirme el cambio ejecutando Get-OrganizationConfig | Format-List AuditDisabled y verificando que el valor sea False.

Cumplimiento

• CIS Microsoft 365 Foundations Benchmark 5.0.0 – Seccion 6.1.1 (Nivel E3 1)

Recursos Relacionados

• Obtenga mas informacion sobre la auditoria de buzones en Microsoft 365
• Referencia del cmdlet Set-OrganizationConfig de PowerShell

Microsoft references

• Audit mailboxes
• Set organizationconfig