Alerts SHOULD be sent to a monitored address or incorporated into a security information and event management (SIEM) system.
Hvorfor dette er viktig
Uten riktig varslingsruting kan kritiske sikkerhetshendelser i Microsoft 365-miljøet ditt forbli uoppdaget. En uovervåket varslingskø betyr at du kan gå glipp av indikatorer på kompromittering, uautoriserte påloggingsforsøk eller policybrudd, noe som gjør organisasjonen din sårbar for forlenget angrepstid.
Hva Aether365 sjekker
Aether365 verifiserer at Microsoft 365-varslene dine er konfigurert til å videresendes til en overvåket e-postadresse eller til et SIEM-system (Security Information and Event Management). Denne kontrollen vises i Aether365-dashbordet under microsoft-365-tjenestekontrollene.
Slik fikser du det
- Logg på Microsoft 365 Defender-portalen på https://security.microsoft.com.
- Naviger til E-post og samarbeid > Policyer og regler > Varslingspolicyer.
- Gå gjennom hver varslingspolicy og kontroller at E-postmottakere-feltet inneholder en overvåket postboks eller distribusjonsgruppe.
- For SIEM-integrasjon konfigurerer du en varslingswebhook eller bruker Microsoft 365 Defender-APIene til å videresende varsler til SIEM-verktøyet ditt.
- Test varslingslevering ved å utløse et eksempelvarsel og bekrefte mottak i det angitte overvåkingsmålet.
Samsvar
- CIS: CISA.MS.EXO.16.2
- Rammeverk: CIS