Ensure emergency access account activity is monitored
Hvorfor Dette er Viktig
Nødadministratorkontoer er ment for sjeldne, kritiske situasjoner som å gjenopprette etter en global administratorutestengning. Uten overvåking kan enhver pålogging fra disse svært privilegerte kontoene forbli uoppdaget, noe som potensielt kan tillate uautorisert tilgang eller misbruk. Overvåking sikrer at all aktivitet umiddelbart flagges for gjennomgang, og forhindrer sikkerhetshull.
Hva Aether365 Sjekker
Aether365 verifiserer at nødadministratorkontoer overvåkes ved å sjekke etter Defender for Cloud Apps-aktivitetsregler som utløser varsler ved påloggingshendelser. Denne sjekken vises i Aether365-dashbordet under microsoft-365-sjekker.
Hvordan Løse Dette
- Logg inn på Microsoft 365 Defender-portalen på https://security.microsoft.com.
- Under Cloud Apps-delen velger du Policies deretter Policy management.
- Klikk All policies, velg deretter Create policy og Activity policy.
- Skriv inn et navn for regelen og konfigurer disse innstillingene:
- Policy severity: Høy alvorlighetsgrad
- Category: Privilegerte kontoer
- Act on: Enkeltaktivitet
- Select a filter: Aktivitetstype er lik Logg på
- Add a filter: Brukernavn er lik
<Nødadministratorkonto>med rolle satt til Any role
- Legg til alle nødadministratorkontoer i denne regelen (eller opprett separate regler for hver).
- Velg en varslingsmetode, for eksempel Send alert as email, og konfigurer mottakere for varsling.
Samsvar
- CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Nivå 1)
- Referanse: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
- Referanse: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies
Relaterte Ressurser
- Overvåk påloggings- og revisjonslogger for nødadministratorkontoer
- Kontroller skylapper med regler i Defender for Cloud Apps