Ensure the 'Restricted entities' report is reviewed weekly

Por Que Isso é Importante

Uma conta de usuário com restrição para envio de e-mail costuma ser um indicador claro de comprometimento. Atacantes usam contas comprometidas para enviar spam ou phishing, o que pode prejudicar a reputação da sua organização e levar a incidentes de segurança adicionais. A revisão semanal regular do relatório Restricted Entities permite identificar e remediar rapidamente essas contas antes que causem mais danos.

O Que o Aether365 Verifica

Esta verificação confirma que sua organização está revisando o relatório Restricted Entities pelo menos semanalmente, conforme recomendado pelo CIS Microsoft 365 Foundations Benchmark. No painel do Aether365, essa verificação aparece na seção de verificações do Microsoft 365 e sinaliza quando nenhuma atividade recente de revisão é detectada.

Como Corrigir

1. Conecte-se ao PowerShell do Exchange Online executando o comando: Connect-ExchangeOnline
2. Após autenticar, execute o cmdlet a seguir para visualizar todos os endereços de remetentes atualmente restritos: Get-BlockedSenderAddress
3. Revise a saída para identificar contas que estão restritas inesperadamente, investigue-as em busca de sinais de comprometimento e tome medidas de remediação, como redefinir senhas ou revogar sessões suspeitas.
4. Depois que a conta estiver protegida, remova-a da lista de restrição usando o Exchange admin center ou o cmdlet Remove-BlockedSenderAddress.

Conformidade

• CIS Microsoft 365 Foundations Benchmark 3.1.0, Controle 2.1.12 (E3 Nível 1)
• Referências de framework: Microsoft 365 Defender, CIS Benchmark

Recursos Relacionados

• Responding to a Compromised Email Account
• Removing a User from Restricted Users Portal After Spam
• Get-BlockedSenderAddress PowerShell Documentation

Microsoft references

• Responding to a compromised email account
• Removing user from restricted users portal after spam
• Get blockedsenderaddress