Ensure the 'Restricted entities' report is reviewed weekly

Por Qué Esto Es Importante

Una cuenta de usuario restringida para enviar correo electrónico suele ser un claro indicador de compromiso. Los atacantes utilizan cuentas comprometidas para enviar spam o correos de phishing, lo que puede dañar la reputación de su organización y provocar más incidentes de seguridad. Revisar semanalmente el informe de entidades restringidas le permite identificar y remediar rápidamente estas cuentas antes de que causen más daño.

Qué Comprueba Aether365

Esta comprobación verifica que su organización está revisando el informe de entidades restringidas al menos una vez por semana, según lo recomendado por el CIS Microsoft 365 Foundations Benchmark. En el panel de control de Aether365, esto aparece en la sección de comprobaciones de Microsoft 365 y marca si no se detecta actividad de revisión reciente.

Cómo Solucionarlo

1. Conéctese a Exchange Online PowerShell ejecutando el comando: Connect-ExchangeOnline
2. Después de autenticarse, ejecute el siguiente cmdlet para ver todas las direcciones de remitente actualmente restringidas: Get-BlockedSenderAddress
3. Revise la salida en busca de cuentas restringidas inesperadamente, investigue si hay señales de compromiso y tome medidas de remediación, como restablecer contraseñas o revocar sesiones sospechosas.
4. Una vez que la cuenta esté asegurada, elimínela de la lista de restringidas usando el Exchange admin center o el cmdlet Remove-BlockedSenderAddress.

Cumplimiento

• CIS Microsoft 365 Foundations Benchmark 3.1.0, Control 2.1.12 (E3 Nivel 1)
• Referencias del marco: Microsoft 365 Defender, CIS Benchmark

Recursos Relacionados

• Responding to a Compromised Email Account
• Removing a User from Restricted Users Portal After Spam
• Get-BlockedSenderAddress PowerShell Documentation

Microsoft references

• Responding to a compromised email account
• Removing user from restricted users portal after spam
• Get blockedsenderaddress