Ensure the 'Restricted entities' report is reviewed weekly
Miks see on oluline
Piiratud e-postiga kasutajakonto on sageli selge kompromiteerimise tunnus. Ründajad kasutavad ohustatud kontosid rämps- või andmepüügimeilide saatmiseks, mis võib kahjustada teie organisatsiooni mainet ja põhjustada edasisi turvaintsidente. Iganädalane piiratud üksuste aruande regulaarne läbivaatamine võimaldab teil need kontod kiiresti tuvastada ja parandada enne, kui need rohkem kahju põhjustavad.
Mida Aether365 kontrollib
See kontroll veendub, et teie organisatsioon vaatab piiratud üksuste aruannet vähemalt kord nädalas, nagu soovitab CIS Microsoft 365 Foundations Benchmark. Aether365 jälgimispaneelil kuvatakse see Microsoft 365 kontrollide jaotises ja see märgib hoiatuse, kui hiljutist läbivaatamistegevust ei tuvastata.
Kuidas parandada
- Ühendage Exchange Online PowerShelliga, käsk:
Connect-ExchangeOnline - Pärast autentimist käivitage järgmine cmdlet kõigi praegu piiratud saatjaaadresside vaatamiseks:
Get-BlockedSenderAddress - Kontrollige väljundit ootamatult piiratud kontode suhtes, uurige neid kompromiteerimise märkide osas ja rakendage parandusmeetmeid, nagu paroolide lähtestamine või kahtlaste seansside tühistamine.
- Kui konto on turvatud, eemaldage see piiratud loendist, kasutades Exchange admin center või cmdletit
Remove-BlockedSenderAddress.
Vastavus
- CIS Microsoft 365 Foundations Benchmark 3.1.0, kontroll 2.1.12 (E3 Level 1)
- Raamistiku viited: Microsoft 365 Defender, CIS Benchmark
Seotud materjalid
- Vastamine ohustatud e-posti kontole
- Kasutaja eemaldamine piiratud kasutajate portaalis pärast rämpsposti
- Get-BlockedSenderAddress PowerShell dokumentatsioon