Ensure the Account Provisioning Activity report is reviewed at least weekly
Perché è Importante
Se la vostra organizzazione non utilizza regolarmente applicazioni di terze parti per la gestione degli account utente, qualsiasi voce di provisioning degli account in questo report potrebbe indicare accessi non autorizzati o attività dannose. Monitorare questo report settimanalmente vi aiuta a individuare applicazioni di terze parti nuove o sospette che potrebbero compromettere la vostra directory, prevenendo il furto di account o l'esfiltrazione di dati.
Cosa Controlla Aether365
Aether365 verifica che il report sull'Attività di Provisioning degli Account in Microsoft 365 Defender sia stato esaminato almeno una volta ogni sette giorni. Questo controllo viene visualizzato nella dashboard di Aether365 sotto la categoria microsoft-365 e vi avvisa se il report non è stato esaminato entro l'intervallo richiesto.
Come Risolvere
Per esaminare manualmente il report sull'Attività di Provisioning degli Account:
- Accedere a Microsoft 365 Defender all'indirizzo https://security.microsoft.com.
- Nel menu di navigazione a sinistra, selezionare Audit.
- Nel menu a discesa Activities, scegliere User administration activities e quindi selezionare Added user.
- Impostare Start Date e End Date per coprire il periodo da esaminare (in genere l'ultima settimana).
- Fare clic su Search per generare il report.
- Esaminare i risultati per individuare applicazioni di terze parti non riconosciute o attività di provisioning insolite. Se si notano voci sospette, contattare il provider di identità per verificarne la legittimità.
Conformità
Questo controllo è mappato ai seguenti framework e standard di conformità:
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Regola 2.3.1 (E3 Livello 1)
- Baseline di sicurezza Microsoft 365 E3 Livello 1