Ensure emergency access account activity is monitored
Miksi tämä on tärkeää
Hätäkäyttötilit on tarkoitettu harvinaisiin, kriittisiin tilanteisiin, kuten maailmanlaajuisen järjestelmänvalvojan lukituksen purkamiseen. Ilman seurantaa mikä tahansa kirjautuminen näille erittäin etuoikeutetuille tileille voi jäädä huomaamatta, mikä saattaa mahdollistaa luvattoman käytön tai väärinkäytön. Seuranta varmistaa, että kaikki toiminta merkitään välittömästi tarkistettavaksi, mikä estää tietoturva-aukkojen syntymisen.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että hätäkäyttötilejä seurataan etsimällä Defender for Cloud Apps -toimintakäytäntöjä, jotka aiheuttavat hälytyksiä kirjautumistapahtumista. Tämä tarkistus näkyy Aether365-koontinäytön kohdassa microsoft-365-tarkistukset.
Korjaaminen
- Kirjaudu sisään Microsoft 365 Defender -portaaliin osoitteessa https://security.microsoft.com.
- Valitse Cloud Apps -osiossa Policies ja sitten Policy management.
- Napsauta All policies, valitse sitten Create policy ja valitse Activity policy.
- Anna käytännölle nimi ja määritä seuraavat asetukset:
- Policy severity: High severity
- Category: Privileged accounts
- Act on: Single activity
- Select a filter: Activity type equals Log on
- Add a filter: User name equals
<Emergency access account>ja rooliksi Any role
- Lisää kaikki hätäkäyttötilit tähän käytäntöön (tai luo erillinen käytäntö jokaiselle tilille).
- Valitse hälytystapa, kuten Send alert as email, ja määritä vastaanottajat ilmoituksia varten.
Vaatimustenmukaisuus
- CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
- Viite: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
- Viite: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies
Aiheeseen liittyviä resursseja
- Monitor sign-in and audit logs for emergency access accounts
- Control cloud apps with policies in Defender for Cloud Apps