Ensure notifications for internal users sending malware is Enabled
Dlaczego to jest ważne
Gdy wewnętrzny użytkownik wysyła złośliwe oprogramowanie, często wskazuje to na przejęte konto lub zainfekowaną maszynę wymagającą natychmiastowego dochodzenia. Bez włączonych powiadomień dla tych zablokowanych wiadomości administratorzy mogą pozostać nieświadomi potencjalnie poważnych incydentów bezpieczeństwa, aż będzie za późno. Włączenie tego alertu zapewnia, że Twój zespół może szybko reagować na zagrożenia pochodzące z wewnątrz Twojej organizacji.
Co sprawdza Aether365
Ta weryfikacja zapewnia, że program Exchange Online Protection jest skonfigurowany do wysyłania powiadomień do administratorów, gdy nadawcy wewnętrzni są blokowani za przesyłanie złośliwego oprogramowania. Na pulpicie nawigacyjnym Aether365 w sekcji Microsoft 365 checks to sprawdzenie pojawi się jako M365.2132.
Jak naprawić
Korzystając z portalu Microsoft 365 Defender:
- Przejdź do portalu Microsoft 365 Defender pod adresem https://security.microsoft.com.
- W nawigacji po lewej stronie rozwiń Threat Management i wybierz opcję Policy.
- Wybierz pozycję Anti-Malware z listy zasad.
- Edytuj domyślną zasadę filtru złośliwego oprogramowania lub zasadę niestandardową.
- W sekcji Notification ustaw opcję Notify administrator about undelivered messages from internal senders na Always On.
- W polu Administrator email address wprowadź adres e-mail administratora lub grupy, która ma otrzymywać te alerty.
- Zapisz zasadę.
Korzystając z programu PowerShell (moduł Exchange Online):
- Połącz się z programem Exchange Online, uruchamiając
Connect-ExchangeOnline. - Uruchom następujące polecenie, aby włączyć powiadomienia dla określonej zasady filtru złośliwego oprogramowania:powershell
Set-MalwareFilterPolicy -Identity "Default" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@yourdomain.com
Zgodność
- CIS Microsoft 365 Foundations Benchmark 3.1.0 2.1.3 (E3 Level 1)