Alerts SHOULD be sent to a monitored address or incorporated into a security information and event management (SIEM) system.
Чому це важливо
Якщо маршрутизацію сповіщень не налаштовано належним чином, критичні події безпеки у вашому середовищі Microsoft 365 можуть залишитися непоміченими. Черга сповіщень без моніторингу означає, що ви можете пропустити індикатори компрометації, несанкціоновані спроби доступу або порушення політик, що робить вашу організацію вразливою до тривалих атак.
Що перевіряє Aether365
Aether365 перевіряє, чи налаштовано сповіщення Microsoft 365 на пересилання на адресу електронної пошти, яка відстежується, або в систему SIEM (Security Information and Event Management). Ця перевірка відображається в панелі керування Aether365 у розділі перевірок служб microsoft-365.
Як виправити
- Увійдіть на портал Microsoft 365 Defender за посиланням https://security.microsoft.com.
- Перейдіть до Email & collaboration > Policies & rules > Alert policies.
- Перегляньте кожну політику сповіщень і переконайтеся, що поле Email recipients містить поштову скриньку або групу розсилки, яка відстежується.
- Для інтеграції з SIEM налаштуйте веб-перехоплювач сповіщень або використовуйте API Microsoft 365 Defender, щоб пересилати сповіщення у вашу систему SIEM.
- Перевірте доставку сповіщень, ініціювавши тестове сповіщення та підтвердивши його отримання у призначеному місці моніторингу.
Відповідність стандартам
- CIS: CISA.MS.EXO.16.2
- Framework: CIS