Ensure the 'Restricted entities' report is reviewed weekly
Perché è Importante
Un account utente con restrizione sull'invio di email è spesso un chiaro indicatore di compromissione. Gli attaccanti utilizzano account compromessi per inviare spam o email di phishing, che possono danneggiare la reputazione della tua organizzazione e portare a ulteriori incidenti di sicurezza. Una revisione settimanale regolare del report Restricted Entities ti permette di identificare e correggere rapidamente questi account prima che causino ulteriori danni.
Cosa Controlla Aether365
Questa verifica controlla che la tua organizzazione stia revisionando il report Restricted Entities almeno settimanalmente, come raccomandato dal CIS Microsoft 365 Foundations Benchmark. Nel dashboard di Aether365, questa voce appare sotto la sezione dei controlli Microsoft 365 e segnala se non viene rilevata attività di revisione recente.
Come Risolvere
- Connettiti a Exchange Online PowerShell eseguendo il comando:
Connect-ExchangeOnline - Dopo l'autenticazione, esegui il seguente cmdlet per visualizzare tutti gli indirizzi mittente attualmente bloccati:
Get-BlockedSenderAddress - Esamina l'output per eventuali account bloccati inaspettatamente, indaga su di essi per rilevare segni di compromissione e adotta misure correttive come reimpostare le password o revocare sessioni sospette.
- Una volta che l'account è stato messo in sicurezza, rimuovilo dall'elenco degli indirizzi bloccati utilizzando l'Exchange admin center o il cmdlet
Remove-BlockedSenderAddress.
Conformità
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Control 2.1.12 (E3 Level 1)
- Riferimenti ai framework: Microsoft 365 Defender, CIS Benchmark
Risorse Correlate
- Rispondere a un Account Email Compromesso
- Rimuovere un Utente dal Portale degli Utenti con Restrizioni Dopo Spam
- Documentazione PowerShell di Get-BlockedSenderAddress