Alerts SHOULD be sent to a monitored address or incorporated into a security information and event management (SIEM) system.
Miért fontos ez
Megfelelő riasztási útválasztás nélkül a Microsoft 365 környezet kritikus biztonsági eseményei észrevétlenek maradhatnak. Egy felügyelet nélküli riasztási sor azt jelenti, hogy elszalaszthatja a kompromittálódás jeleit, az illetéktelen hozzáférési kísérleteket vagy a szabályzatsértéseket, ami hosszabb támadási idővonalaknak teszi ki szervezetét.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a Microsoft 365 riasztásai úgy vannak-e konfigurálva, hogy továbbítsák azokat egy felügyelt e-mail címre vagy egy Security Information and Event Management (SIEM) rendszerbe. Ez az ellenőrzés az Aether365 irányítópultján a microsoft-365 szolgáltatásellenőrzések között jelenik meg.
Javítás menete
- Jelentkezzen be a Microsoft 365 Defender portálra a https://security.microsoft.com címen.
- Navigáljon a E-mail és együttműködés > Szabályzatok és szabályok > Riasztási szabályzatok menüpontra.
- Tekintse át az egyes riasztási szabályzatokat, és ellenőrizze, hogy az E-mail címzettek mező egy felügyelt postaládát vagy terjesztési csoportot tartalmaz-e.
- SIEM-integráció esetén konfiguráljon egy riasztási webhookot, vagy használja a Microsoft 365 Defender API-kat a riasztások SIEM-eszközébe történő továbbításához.
- Tesztelje a riasztások kézbesítését egy minta riasztás kiváltásával, és erősítse meg annak megérkezését a kijelölt felügyeleti célhelyen.
Megfelelőség
- CIS: CISA.MS.EXO.16.2
- Keretrendszer: CIS