Alerts SHOULD be sent to a monitored address or incorporated into a security information and event management (SIEM) system.
Pourquoi c'est important
Sans un routage correct des alertes, les événements de sécurité critiques dans votre environnement Microsoft 365 peuvent passer inaperçus. Une file d'attente d'alertes non surveillée signifie que vous risquez de manquer des indicateurs de compromission, des tentatives d'accès non autorisées ou des violations de stratégies, exposant ainsi votre organisation à des durées d'attaque prolongées.
Ce que vérifie Aether365
Aether365 vérifie que vos alertes Microsoft 365 sont configurées pour être transférées vers une adresse e-mail surveillée ou vers un système Security Information and Event Management (SIEM). Cette vérification apparaît dans le tableau de bord d'Aether365 sous les vérifications de service microsoft-365.
Comment corriger
- Connectez-vous au portail Microsoft 365 Defender à l'adresse https://security.microsoft.com.
- Accédez à Email & collaboration > Policies & rules > Alert policies.
- Examinez chaque stratégie d'alerte et vérifiez que le champ Email recipients contient une boîte aux lettres ou un groupe de distribution surveillé.
- Pour l'intégration SIEM, configurez un webhook d'alerte ou utilisez les API Microsoft 365 Defender pour transférer les alertes vers votre outil SIEM.
- Testez la livraison des alertes en déclenchant une alerte factice et en confirmant la réception dans la destination de surveillance désignée.
Conformité
- CIS : CISA.MS.EXO.16.2
- Framework : CIS