Ensure the 'Restricted entities' report is reviewed weekly

Miksi tämä on tärkeää

Käyttäjätili, jolta on estetty sähköpostin lähetys, on usein selvä merkki tietoturvaloukkauksesta. Hyökkääjät käyttävät vaarantuneita tilejä roskapostin tai tietojenkalasteluviestien lähettämiseen, mikä voi vahingoittaa organisaatiosi mainetta ja johtaa uusiin tietoturvapoikkeamiin. Säännöllinen viikoittainen Restricted Entities -raportin tarkastelu auttaa sinua tunnistamaan ja korjaamaan nämä tilit nopeasti ennen kuin ne ehtivät aiheuttaa enempää haittaa.

Mitä Aether365 tarkistaa

Tämä tarkistus varmistaa, että organisaatiosi tarkastelee Restricted Entities -raporttia vähintään viikoittain CIS Microsoft 365 Foundations Benchmark -suosituksen mukaisesti. Aether365-hallintapaneelissa tämä näkyy Microsoft 365 -tarkistukset-osiossa ja varoittaa, jos äskettäistä tarkastelutoimintaa ei havaita.

Korjaaminen

1. Yhdistä Exchange Online PowerShell -istuntoon suorittamalla komento: Connect-ExchangeOnline
2. Todennuksen jälkeen suorita seuraava cmdlet-komento nähdäksesi kaikki tällä hetkellä estetyt lähettäjäosoitteet: Get-BlockedSenderAddress
3. Tarkista tulosteesta mahdolliset odottamatta estetyt tilit, tutki ne tietoturvaloukkauksen varalta ja tee korjaavat toimenpiteet, kuten salasanojen nollaaminen tai epäilyttävien istuntojen lopettaminen.
4. Kun tili on suojattu, poista se estolistalta Exchange admin centerin tai Remove-BlockedSenderAddress cmdlet-komennon avulla.

Vaatimustenmukaisuus

• CIS Microsoft 365 Foundations Benchmark 3.1.0, Control 2.1.12 (E3 Level 1)
• Viitekehykset: Microsoft 365 Defender, CIS Benchmark

Aiheeseen liittyvät resurssit

• Vaarantuneeseen sähköpostitiliin vastaaminen
• Käyttäjän poistaminen rajoitettujen käyttäjien portaalista roskapostin jälkeen
• Get-BlockedSenderAddress PowerShell -dokumentaatio

Microsoft references

• Responding to a compromised email account
• Removing user from restricted users portal after spam
• Get blockedsenderaddress