Ensure 'AuditBypassEnabled' is not enabled on mailboxes
Kāpēc Tas Ir Svarīgi
Ja kontam ir iespējota pastkastītes audita apiešana, šis konts var piekļūt jebkurai pastkastei, kurai tam ir atļaujas, neradot nekādus audita žurnāla ierakstus. Tas nozīmē, ka darbības, piemēram, ziņojumu dzēšana vai nesankcionēta piekļuve, paliek pilnībā nereģistrētas, padarot neiespējamu iekšējo draudu vai ļaunprātīgu darbību atklāšanu. IT administratoriem tas rada aklo zonu, kas apgrūtina incidentu reaģēšanu un kriminālistiskās izmeklēšanas.
Ko Pārbauda Aether365
Aether365 pārbauda, vai AuditBypassEnabled rekvizīts nav iespējots nevienā jūsu Microsoft 365 organizācijas pastkastītes kontā. Šī pārbaude tiek parādīta Aether365 informācijas panelī zem microsoft-365 sadaļas un iezīmē kontus, kuriem ir aktivizēta audita apiešana.
Kā Novērst
- Izveidojiet savienojumu ar Exchange Online PowerShell, izmantojot kontu ar atbilstošu administratora lomu (piemēram, Organization Management).
- Palaidiet šādu cmdlet, lai identificētu visus kontus ar iespējotu audita apiešanu:
Get-MailboxAuditBypassAssociation | Where-Object { $_.AuditBypassEnabled -eq $true } - Katram kontam, kuram nevajadzētu būt audita apiešanas iespējai, noņemiet apiešanu, palaižot:
Set-MailboxAuditBypassAssociation -Identity "UserPrincipalName" -AuditBypassEnabled $false - Kontiem, kuriem ir rakstisks izņēmums (piemēram, pakalpojumu kontiem vai uzraudzības rīkiem, kam nepieciešama apiešana), dokumentējiet izņēmumu un nodrošiniet regulāras pārskatīšanas.
Atbilstība
- CIS Microsoft 365 Foundations Benchmark 5.0.0 6.1.3 (E3 Level 1)
- Atbilst audita reģistrēšanas paraugpraksēm incidentu reaģēšanai un kriminālistiskajai gatavībai