Microsoft Purview Audit (Standard) logging SHALL be enabled.
Чому це важливо
Без увімкненого журналювання Microsoft Purview Audit (Standard) ваша організація втрачає можливість відстежувати критичні дії користувачів і адміністраторів у службах Exchange Online та Microsoft 365. Ця "сліпа зона" може дозволити зловмисним діям або порушенням політик залишатися непоміченими, що значно ускладнює реагування на інциденти та проведення криміналістичних розслідувань. Увімкнення журналювання аудиту гарантує наявність захищеного від підробки запису для відповідності вимогам і моніторингу безпеки.
Що перевіряє Aether365
Aether365 перевіряє, чи ввімкнено журналювання Microsoft Purview Audit (Standard) для вашого середовища Exchange Online та Microsoft 365. Ця перевірка відображатиметься на інформаційній панелі Aether365 у розділі microsoft-365 checks як CISA.MS.EXO.17.1.
Як виправити
Щоб увімкнути журналювання Microsoft Purview Audit (Standard) у вашому клієнті, виконайте такі дії:
- Відкрийте Exchange admin center за адресою https://admin.exchange.microsoft.com.
- Перейдіть до Mail flow, а потім Rules.
- У розділі Compliance management виберіть Audit.
- Якщо статус журналу аудиту показує "Disabled", натисніть Start logging.
- Зачекайте до 60 хвилин, поки зміна пошириться на ваш клієнт.
Ви також можете ввімкнути журналювання аудиту за допомогою командлета Exchange Online PowerShell Set-AdminAuditLogConfig -AdminAuditLogEnabled $true.
Відповідність
- CIS: CISA.MS.EXO.17.1 (CIS Microsoft 365 Foundation Benchmark)
- Framework: CISA (Cybersecurity and Infrastructure Security Agency)