Ensure the 'Restricted entities' report is reviewed weekly

Varför detta är viktigt

Ett användarkonto som hindras från att skicka e-post är ofta en tydlig indikator på kompromettering. Angripare använder komprometterade konton för att skicka spam eller nätfiskemejl, vilket kan skada organisationens rykte och leda till ytterligare säkerhetsincidenter. Regelbunden veckovis granskning av rapporten Restricted Entities gör att du snabbt kan identifiera och åtgärda dessa konton innan de orsakar mer skada.

Vad Aether365 kontrollerar

Denna kontroll verifierar att din organisation granskar rapporten Restricted Entities minst en gång i veckan, enligt rekommendationen i CIS Microsoft 365 Foundations Benchmark. I Aether365-instrumentpanelen visas detta under avsnittet för Microsoft 365-kontroller och flaggar om ingen nyligen granskningsaktivitet upptäcks.

Så här åtgärdar du

1. Anslut till Exchange Online PowerShell genom att köra kommandot: Connect-ExchangeOnline
2. Efter autentisering, kör följande cmdlet för att visa alla för närvarande blockerade avsändaradresser: Get-BlockedSenderAddress
3. Granska utdata för alla konton som oväntat är blockerade, undersök dem för tecken på kompromettering och vidta åtgärder som att återställa lösenord eller återkalla misstänkta sessioner.
4. När ett konto är säkrat, ta bort det från blockeringslistan med hjälp av Exchange admin center eller cmdleten Remove-BlockedSenderAddress.

Regelefterlevnad

• CIS Microsoft 365 Foundations Benchmark 3.1.0, Kontroll 2.1.12 (E3 Nivå 1)
• Ramverksreferenser: Microsoft 365 Defender, CIS Benchmark

Relaterade resurser

• Responding to a Compromised Email Account
• Removing a User from Restricted Users Portal After Spam
• Get-BlockedSenderAddress PowerShell Documentation

Microsoft references

• Responding to a compromised email account
• Removing user from restricted users portal after spam
• Get blockedsenderaddress