Ensure 'AuditDisabled' organizationally is set to 'False'

Pourquoi c'est important

Si l'audit des boîtes aux lettres est désactivé au niveau organisationnel, votre équipe de sécurité perd toute visibilité sur les activités critiques liées aux boîtes aux lettres, telles que la création de règles de boîte de réception, l'accès aux dossiers ou la falsification de messages. Sans ces journaux d'audit, les répondants aux incidents et les enquêteurs judiciaires ne peuvent pas retracer les actions malveillantes comme l'exfiltration de données ou l'élévation de privilèges exécutées via des boîtes aux lettres compromises. L'application de l'audit garantit que les actions par défaut des boîtes aux lettres sont toujours enregistrées, fournissant ainsi des preuves essentielles pour détecter et enquêter sur les incidents de sécurité.

Ce que vérifie Aether365

Aether365 vérifie que la propriété AuditDisabled de la configuration Exchange Online de l'organisation est définie sur False. Cette vérification apparaît dans votre tableau de bord Aether365, sous la section des contrôles de sécurité Microsoft 365.

Comment corriger

1. Ouvrez Exchange Online PowerShell en exécutant Connect-ExchangeOnline.
2. Exécutez la commande suivante pour activer l'audit des boîtes aux lettres au niveau organisationnel :

   Set-OrganizationConfig -AuditDisabled $false

3. Confirmez le changement en exécutant Get-OrganizationConfig | Format-List AuditDisabled et en vérifiant que la valeur est False.

Conformité

• CIS Microsoft 365 Foundations Benchmark 5.0.0 – Section 6.1.1 (E3 Niveau 1)

Ressources connexes

• En savoir plus sur l'audit des boîtes aux lettres dans Microsoft 365
• Référence de l'applet de commande PowerShell Set-OrganizationConfig

Microsoft references

• Audit mailboxes
• Set organizationconfig