Ensure emergency access account activity is monitored
Por Que Isso Importa
As contas de acesso de emergência são destinadas a situações raras e críticas, como a recuperação de um bloqueio de administrador global. Sem monitoramento, qualquer entrada dessas contas altamente privilegiadas pode passar despercebida, permitindo potencialmente acesso não autorizado ou uso indevido. O monitoramento garante que qualquer atividade seja sinalizada imediatamente para revisão, prevenindo brechas de segurança.
O Que o Aether365 Verifica
O Aether365 verifica se as contas de acesso de emergência são monitoradas, checando políticas de atividade do Defender for Cloud Apps que disparam alertas em eventos de entrada. Essa verificação aparece no painel do Aether365 na seção microsoft-365 checks.
Como Corrigir
- Entre no portal Microsoft 365 Defender em https://security.microsoft.com.
- Na seção Cloud Apps, selecione Policies e depois Policy management.
- Clique em All policies, depois selecione Create policy e escolha Activity policy.
- Insira um nome para a política e configure estas opções:
- Policy severity: High severity
- Category: Privileged accounts
- Act on: Single activity
- Select a filter: Activity type equals Log on
- Add a filter: User name equals
<Conta de acesso de emergência>com role definido como Any role
- Adicione todas as contas de acesso de emergência a esta política (ou crie políticas separadas para cada uma).
- Selecione um método de alerta, como Send alert as email, e configure os destinatários para notificação.
Conformidade
- CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
- Referência: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
- Referência: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies
Recursos Relacionados
- Monitor sign-in and audit logs for emergency access accounts
- Control cloud apps with policies in Defender for Cloud Apps