Ensure emergency access account activity is monitored

Por Que Esto Importa

Las cuentas de acceso de emergencia estan disenadas para situaciones excepcionales y criticas, como recuperarse de un bloqueo de administrador global. Sin supervisión, cualquier inicio de sesión desde estas cuentas altamente privilegiadas podria pasar desapercibido, lo que potencialmente permitiria accesos no autorizados o usos indebidos. La supervisión garantiza que cualquier actividad se marque de inmediato para su revision, evitando brechas de seguridad.

Que Comprueba Aether365

Aether365 verifica que las cuentas de acceso de emergencia esten supervisadas revisando si existen politicas de actividad de Defender for Cloud Apps que activen alertas en eventos de inicio de sesión. Esta comprobacion aparece en el panel de Aether365 bajo la seccion de comprobaciones de microsoft-365.

Como Solucionarlo

1. Inicie sesión en el portal de Microsoft 365 Defender en https://security.microsoft.com.
2. En la sección Cloud Apps, seleccione Policies y luego Policy management.
3. Haga clic en All policies, luego seleccione Create policy y elija Activity policy.
4. Ingrese un nombre para la politica y configure estos ajustes:
   • Policy severity: High severity
   • Category: Privileged accounts
   • Act on: Single activity
   • Select a filter: Activity type equals Log on
   • Add a filter: User name equals <Cuenta de acceso de emergencia> con role establecido en Any role
5. Agregue todas las cuentas de acceso de emergencia a esta politica (o cree politicas separadas para cada una).
6. Seleccione un metodo de alerta, como Send alert as email, y configure los destinatarios para la notificacion.

Cumplimiento

• CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
• Referencia: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
• Referencia: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies

Recursos Relacionados

• Monitor sign-in and audit logs for emergency access accounts
• Control cloud apps with policies in Defender for Cloud Apps

Microsoft references

• Security emergency access
• Control cloud apps with policies