Ensure emergency access account activity is monitored
Prečo je to dôležité
Núdzové prístupové účty sú určené na vzácne, kritické situácie, ako je obnovenie po zablokovaní globálneho správcu. Bez monitorovania by akékoľvek prihlásenie z týchto vysoko privilegovaných účtov mohlo zostať nepovšimnuté, čo by potenciálne umožnilo neoprávnený prístup alebo zneužitie. Monitorovanie zaisťuje, že akákoľvek aktivita je okamžite označená na kontrolu, čím sa predchádza bezpečnostným medzerám.
Čo Aether365 kontroluje
Aether365 overuje, či sú núdzové prístupové účty monitorované, kontrolou politík aktivít Defender for Cloud Apps, ktoré spúšťajú upozornenia na udalosti prihlásenia. Táto kontrola sa zobrazuje v paneli Aether365 v časti microsoft-365 checks.
Ako to opraviť
- Prihláste sa do portálu Microsoft 365 Defender na adrese https://security.microsoft.com.
- V sekcii Cloud Apps vyberte Policies a potom Policy management.
- Kliknite na All policies, vyberte Create policy a zvoľte Activity policy.
- Zadajte názov politiky a nakonfigurujte tieto nastavenia:
- Policy severity: High severity
- Category: Privileged accounts
- Act on: Single activity
- Select a filter: Activity type equals Log on
- Add a filter: User name equals
<Núdzový prístupový účet>s rolou nastavenou na Any role
- Pridajte všetky núdzové prístupové účty do tejto politiky (alebo vytvorte samostatné politiky pre každý z nich).
- Vyberte metódu upozornenia, napríklad Send alert as email, a nakonfigurujte príjemcov na notifikácie.
Súlad
- CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
- Referencia: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
- Referencia: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies
Súvisiace zdroje
- Monitor sign-in and audit logs for emergency access accounts
- Control cloud apps with policies in Defender for Cloud Apps