Ensure 'AuditBypassEnabled' is not enabled on mailboxes
De ce este important
Dacă pentru un cont este activată ocolirea auditului cutiei poştale, acel cont poate accesa orice cutie poştală la care are permisiuni fără a genera înregistrări în jurnalul de audit. Aceasta înseamnă că acţiuni precum ştergerea de mesaje sau accesul neautorizat rămân complet neînregistrate, făcând imposibilă detectarea ameninţărilor interne sau a activităţilor rău intenţionate. Pentru administratorii IT, acest lucru creează un punct mort care subminează răspunsul la incidente şi investigaţiile criminalistice.
Ce verifică Aether365
Aether365 verifică faptul că proprietatea AuditBypassEnabled nu este activată pentru niciun cont de cutie poştală din organizaţia dumneavoastră Microsoft 365. Această verificare apare în tabloul de bord Aether365 sub secţiunea microsoft-365 şi semnalează conturile pentru care ocolirea auditului este activă.
Cum se remediază
- Conectaţi-vă la Exchange Online PowerShell utilizând un cont cu rolul administrativ corespunzător (de exemplu, Organization Management).
- Rulaţi următoarea comandă cmdlet pentru a identifica toate conturile cu ocolirea auditului activată:
Get-MailboxAuditBypassAssociation | Where-Object { $_.AuditBypassEnabled -eq $true } - Pentru fiecare cont care nu ar trebui să aibă ocolirea auditului, eliminaţi ocolirea rulând:
Set-MailboxAuditBypassAssociation -Identity "UserPrincipalName" -AuditBypassEnabled $false - Pentru conturile pentru care există o excepţie documentată (de exemplu, pentru conturi de servicii sau instrumente de monitorizare care necesită ocolire), documentaţi excepţia şi asiguraţi-vă că sunt efectuate revizuiri periodice.
Conformitate
- CIS Microsoft 365 Foundations Benchmark 5.0.0 6.1.3 (E3 Level 1)
- Se aliniază cu cele mai bune practici de înregistrare a auditului pentru răspunsul la incidente şi pregătirea criminalistică