Ensure the 'Restricted entities' report is reviewed weekly

Bu Neden Önemli

E-posta göndermesi kısıtlanmış bir kullanıcı hesabı, genellikle açık bir tehlike göstergesidir. Saldırganlar, ele geçirilmiş hesapları spam veya kimlik avı e-postaları göndermek için kullanır; bu durum kuruluşunuzun itibarına zarar verebilir ve daha fazla güvenlik olayına yol açabilir. Kısıtlanmış Varlıklar raporunun haftalık olarak düzenli incelenmesi, bu hesapların daha fazla zarar vermeden önce hızlıca tespit edilmesini ve düzeltilmesini sağlar.

Aether365 Ne Kontrol Eder

Bu kontrol, kuruluşunuzun CIS Microsoft 365 Foundations Benchmark tarafından önerildiği gibi Kısıtlanmış Varlıklar raporunu en az haftada bir kez inceleyip incelemediğini doğrular. Aether365 panosunda, bu kontrol Microsoft 365 kontrolleri bölümü altında görünür ve yakın zamanda herhangi bir inceleme etkinliği tespit edilmezse uyarı verir.

Nasıl Düzeltilir

1. Exchange Online PowerShell'e şu komutu çalıştırarak bağlanın: Connect-ExchangeOnline
2. Kimlik doğrulaması yaptıktan sonra, şu anda kısıtlanmış tüm gönderen adreslerini görüntülemek için şu cmdlet'i çalıştırın: Get-BlockedSenderAddress
3. Çıktıyı beklenmedik şekilde kısıtlanmış hesaplar için inceleyin, tehlike belirtilerini araştırın ve parolaları sıfırlama veya şüpheli oturumları iptal etme gibi düzeltme adımlarını uygulayın.
4. Hesap güvenli hale getirildikten sonra, Exchange admin center veya Remove-BlockedSenderAddress cmdlet'ini kullanarak hesabı kısıtlanmış listeden kaldırın.

Uyumluluk

• CIS Microsoft 365 Foundations Benchmark 3.1.0, Kontrol 2.1.12 (E3 Seviye 1)
• Çerçeve referansları: Microsoft 365 Defender, CIS Benchmark

İlgili Kaynaklar

• Ele Geçirilmiş E-posta Hesabına Yanıt Verme
• Spam Sonrası Kullanıcıyı Kısıtlanmış Kullanıcılar Portalından Kaldırma
• Get-BlockedSenderAddress PowerShell Belgeleri

Microsoft references

• Responding to a compromised email account
• Removing user from restricted users portal after spam
• Get blockedsenderaddress