Ensure the 'Restricted entities' report is reviewed weekly
Prečo je to dôležité
Používateľský účet, ktorému je zakázané odosielanie e-mailov, je často jasným znakom kompromitácie. Útočníci používajú kompromitované účty na odosielanie spamových alebo phishingových e-mailov, čo môže poškodiť reputáciu vašej organizácie a viesť k ďalším bezpečnostným incidentom. Pravidelná týždenná kontrola zostavy Restricted Entities (Obmedzené entity) vám umožní rýchlo identifikovať a napraviť tieto účty skôr, ako spôsobia ďalšie škody.
Čo kontroluje Aether365
Táto kontrola overuje, či vaša organizácia kontroluje zostavu Restricted Entities aspoň týždenne, ako odporúča CIS Microsoft 365 Foundations Benchmark. V dashboarde Aether365 sa to zobrazuje v sekcii Microsoft 365 checks a signalizuje sa, ak nie je zistená žiadna nedávna aktivita kontroly.
Ako to opraviť
- Pripojte sa k Exchange Online PowerShell spustením príkazu:
Connect-ExchangeOnline - Po overení spustite nasledujúci cmdlet na zobrazenie všetkých aktuálne obmedzených adries odosielateľov:
Get-BlockedSenderAddress - Skontrolujte výstup, či sa v ňom nenachádzajú účty, ktoré sú neočakávane obmedzené, preskúmajte ich kvôli známkam kompromitácie a vykonajte nápravné kroky, ako je resetovanie hesiel alebo zrušenie podozrivých relácií.
- Keď je účet zabezpečený, odstráňte ho z obmedzeného zoznamu pomocou Exchange admin center alebo cmdletu
Remove-BlockedSenderAddress.
Súlad s normami
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Control 2.1.12 (E3 Level 1)
- Referencie rámcov: Microsoft 365 Defender, CIS Benchmark
Súvisiace zdroje
- Reakcia na kompromitovaný e-mailový účet
- Odstránenie používateľa z portálu obmedzených používateľov po spame
- Dokumentácia Get-BlockedSenderAddress PowerShell