Ensure the Account Provisioning Activity report is reviewed at least weekly
Por qué es importante
Si su organización no utiliza aplicaciones de terceros para la administración de cuentas de usuario, cualquier entrada de aprovisionamiento de cuentas en este informe podría indicar acceso no autorizado o actividad maliciosa. Monitorear este informe semanalmente le ayuda a detectar aplicaciones de terceros nuevas o inusuales que podrían estar comprometiendo su directorio, evitando el robo de cuentas o la exfiltración de datos.
Qué verifica Aether365
Aether365 verifica que el informe de Actividad de aprovisionamiento de cuentas en Microsoft 365 Defender haya sido revisado al menos una vez cada siete días. Esta verificación aparece en su panel de Aether365 bajo la categoría microsoft-365 y le alerta si el informe no se ha revisado dentro del período requerido.
Cómo solucionarlo
Para revisar manualmente el informe de Actividad de aprovisionamiento de cuentas:
- Inicie sesión en Microsoft 365 Defender en https://security.microsoft.com.
- En la navegación izquierda, seleccione Audit.
- En el menú desplegable de Activities, elija User administration activities y luego seleccione Added user.
- Configure la Start Date y la End Date para cubrir el período que desea revisar (normalmente la semana anterior).
- Haga clic en Search para generar el informe.
- Examine los resultados para detectar aplicaciones de terceros no reconocidas o actividad de aprovisionamiento inusual. Si ve entradas sospechosas, comuníquese con su proveedor de identidad para verificar la legitimidad.
Cumplimiento normativo
Esta verificación se asigna a los siguientes marcos y estándares de cumplimiento:
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Regla 2.3.1 (E3 Nivel 1)
- Línea de base de seguridad Microsoft 365 E3 Nivel 1