Ensure the 'Restricted entities' report is reviewed weekly

Hvorfor Dette Er Viktig

En brukerkonto som er hindret fra å sende e-post er ofte et tydelig tegn på kompromittering. Angripere bruker kompromitterte kontoer til å sende spam eller phishing-e-poster, noe som kan skade organisasjonens omdømme og føre til ytterligere sikkerhetshendelser. Regelmessig ukentlig gjennomgang av Restricted Entities-rapporten lar deg raskt identifisere og utbedre disse kontoene før de forårsaker mer skade.

Hva Aether365 Sjekker

Denne kontrollen verifiserer at organisasjonen din gjennomgår Restricted Entities-rapporten minst ukentlig, slik CIS Microsoft 365 Foundations Benchmark anbefaler. I Aether365-dashbordet vises dette under Microsoft 365-sjekkdelen og flagges hvis ingen nylig gjennomgangsaktivitet oppdages.

Slik Fikser Du Det

1. Koble til Exchange Online PowerShell ved å kjøre kommandoen: Connect-ExchangeOnline
2. Etter autentisering, kjør følgende cmdlet for å se alle for øyeblikket blokkerte avsenderadresser: Get-BlockedSenderAddress
3. Gjennomgå utdataene for eventuelle kontoer som er uventet blokkert, undersøk dem for tegn på kompromittering, og utfør utbedringstiltak som å tilbakestille passord eller tilbakekalle mistenkelige økter.
4. Når en konto er sikret, fjerner du den fra blokkeringslisten ved hjelp av Exchange admin center eller Remove-BlockedSenderAddress cmdleten.

Samsvar

• CIS Microsoft 365 Foundations Benchmark 3.1.0, Kontroll 2.1.12 (E3 Nivå 1)
• Referanserammer: Microsoft 365 Defender, CIS Benchmark

Relaterte Ressurser

• Responding to a Compromised Email Account
• Removing a User from Restricted Users Portal After Spam
• Get-BlockedSenderAddress PowerShell Documentation

Microsoft references

• Responding to a compromised email account
• Removing user from restricted users portal after spam
• Get blockedsenderaddress