Ensure 'AuditBypassEnabled' is not enabled on mailboxes
Kodėl tai svarbu
Jei pašto dėžutės audito išimtis yra įjungta paskyrai, ši paskyra gali pasiekti bet kurią pašto dėžutę, kuriai turi teises, nesukuriant jokių audito žurnalo įrašų. Tai reiškia, kad tokie veiksmai kaip pranešimų trynimas arba neteisėta prieiga lieka visiškai neužfiksuoti, todėl tampa neįmanoma aptikti vidinių grėsmių ar kenkėjiškos veiklos. IT administratoriams tai sukuria akląją zoną, kuri kenkia incidentų valdymui ir teismo ekspertizės tyrimams.
Ką tikrina Aether365
Aether365 patikrina, ar AuditBypassEnabled savybė nėra įjungta jokiai pašto dėžutės paskyrai jūsų Microsoft 365 organizacijoje. Šis patikrinimas rodomas Aether365 ataskaitų skydelyje po microsoft-365 skyriumi ir pažymi paskyras, kuriose audito išimtis yra aktyvi.
Kaip ištaisyti
- Prisijunkite prie Exchange Online PowerShell naudodami paskyrą su atitinkamu administratoriaus vaidmeniu (pvz., Organization Management).
- Paleiskite šią cmdlet, kad identifikuotumėte visas paskyras su įjungta audito išimtimi:
Get-MailboxAuditBypassAssociation | Where-Object { $_.AuditBypassEnabled -eq $true } - Kiekvienai paskyrai, kuri neturėtų turėti audito išimties, pašalinkite išimtį paleisdami:
Set-MailboxAuditBypassAssociation -Identity "UserPrincipalName" -AuditBypassEnabled $false - Paskyroms, kurioms yra rašytinė išimtis (pvz., paslaugų paskyroms arba stebėjimo įrankiams, kuriems reikia išimties), dokumentuokite išimtį ir užtikrinkite, kad būtų atliekamos reguliarios peržiūros.
Atitiktis
- CIS Microsoft 365 Foundations Benchmark 5.0.0 6.1.3 (E3 Level 1)
- Atitinka audito žurnalų geriausias praktikas incidentų valdymui ir teismo ekspertizės pasirengimui