Alerts SHOULD be sent to a monitored address or incorporated into a security information and event management (SIEM) system.
Dlaczego to jest ważne
Bez prawidłowego routingu alertów krytyczne zdarzenia bezpieczeństwa w środowisku Microsoft 365 mogą pozostać niezauważone. Nienadzorowana kolejka alertów oznacza, że możesz przegapić wskaźniki kompromitacji, próby nieautoryzowanego dostępu lub naruszenia zasad, co naraża organizację na przedłużone ataki.
Co sprawdza Aether365
Aether365 weryfikuje, czy alerty Microsoft 365 są skonfigurowane do przekazywania na monitorowany adres e-mail lub do systemu Security Information and Event Management (SIEM). To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w ramach kontroli usługi microsoft-365.
Jak naprawić
- Zaloguj się do portalu Microsoft 365 Defender pod adresem https://security.microsoft.com.
- Przejdź do Email & collaboration > Policies & rules > Alert policies.
- Przejrzyj każdą politykę alertów i sprawdź, czy pole Email recipients zawiera monitorowaną skrzynkę pocztową lub grupę dystrybucyjną.
- W przypadku integracji z systemem SIEM skonfiguruj webhook alertów lub użyj interfejsów API Microsoft 365 Defender do przekazywania alertów do narzędzia SIEM.
- Przetestuj dostarczanie alertów, wyzwalając przykładowy alert i potwierdzając jego otrzymanie w wyznaczonym miejscu monitorowania.
Zgodność
- CIS: CISA.MS.EXO.16.2
- Framework: CIS