Ensure emergency access account activity is monitored
Varför detta är viktigt
Nödfallsåtkomstkonton är avsedda för sällsynta, kritiska situationer som att återhämta sig från en global administratörsutestängning. Utan övervakning kan varje inloggning från dessa högt privilegierade konton förbli oupptäckt, vilket potentiellt kan möjliggöra obehörig åtkomst eller missbruk. Övervakning säkerställer att all aktivitet omedelbart flaggas för granskning, vilket förhindrar säkerhetsbrister.
Vad Aether365 kontrollerar
Aether365 verifierar att nödfallsåtkomstkonton övervakas genom att kontrollera om det finns Defender for Cloud Apps-aktivitetsprinciper som utlöser aviseringar vid inloggningshändelser. Denna kontroll visas i Aether365-instrumentpanelen under microsoft-365-kontroller.
Så här åtgärdar du
- Logga in på Microsoft 365 Defender-portalen på https://security.microsoft.com.
- Under avsnittet Cloud Apps väljer du Policies och sedan Policy management.
- Klicka på All policies, välj sedan Create policy och välj Activity policy.
- Ange ett namn för principen och konfigurera följande inställningar:
- Policy severity: Hög allvarlighetsgrad
- Category: Privilegierade konton
- Act on: Enskild aktivitet
- Select a filter: Aktivitetstyp är lika med Logga in
- Add a filter: Användarnamn är lika med
<Nödfallsåtkomstkonto>med rollen inställd på Any role
- Lägg till alla nödfallsåtkomstkonton i denna princip (eller skapa separata principer för varje).
- Välj en aviseringsmetod, till exempel Send alert as email, och konfigurera mottagare för meddelanden.
Efterlevnad
- CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
- Referens: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
- Referens: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies
Relaterade resurser
- Monitor sign-in and audit logs for emergency access accounts
- Control cloud apps with policies in Defender for Cloud Apps