Ensure the 'Restricted entities' report is reviewed weekly
Чому це важливо
Обмеження облікового запису користувача у можливості надсилати електронні листи часто є явною ознакою компрометації. Зловмисники використовують скомпрометовані облікові записи для розсилки спаму або фішингових листів, що може завдати шкоди репутації вашої організації та призвести до подальших інцидентів безпеки. Щотижневий регулярний перегляд звіту Restricted Entities дозволяє швидко виявляти та усувати такі облікові записи, перш ніж вони завдадуть більшої шкоди.
Що перевіряє Aether365
Ця перевірка підтверджує, що ваша організація переглядає звіт Restricted Entities щонайменше щотижня, як рекомендує CIS Microsoft 365 Foundations Benchmark. У панелі керування Aether365 це відображається у розділі перевірок Microsoft 365 і позначається, якщо не виявлено нещодавньої активності перегляду.
Як виправити
- Підключіться до Exchange Online PowerShell за допомогою команди:
Connect-ExchangeOnline - Після автентифікації виконайте наступний командлет, щоб переглянути всі поточні обмежені адреси відправників:
Get-BlockedSenderAddress - Перегляньте вихідні дані на предмет облікових записів, які неочікувано обмежено, розслідуйте їх на предмет ознак компрометації та вжийте заходів з усунення, таких як скидання паролів або скасування підозрілих сеансів.
- Після захисту облікового запису видаліть його зі списку обмежених за допомогою Exchange admin center або командлета
Remove-BlockedSenderAddress.
Відповідність стандартам
- CIS Microsoft 365 Foundations Benchmark 3.1.0, Control 2.1.12 (E3 Level 1)
- Посилання на фреймворки: Microsoft 365 Defender, CIS Benchmark
Пов'язані ресурси
- Responding to a Compromised Email Account
- Removing a User from Restricted Users Portal After Spam
- Get-BlockedSenderAddress PowerShell Documentation