Ensure emergency access account activity is monitored
Чому це важливо
Облікові записи екстреного доступу призначені для рідкісних критичних ситуацій, як-от відновлення після блокування глобального адміністратора. Без моніторингу будь-який вхід із цих високопривілейованих облікових записів може залишитися непоміченим, що потенційно призведе до несанкціонованого доступу або зловживання. Моніторинг гарантує, що будь-яка активність одразу позначається для перевірки, запобігаючи прогалинам у безпеці.
Що перевіряє Aether365
Aether365 перевіряє, чи здійснюється моніторинг облікових записів екстреного доступу, шляхом пошуку активних політик Defender for Cloud Apps, які запускають сповіщення про події входу. Ця перевірка відображається в інформаційній панелі Aether365 у розділі microsoft-365 checks.
Як виправити
- Увійдіть до порталу Microsoft 365 Defender за посиланням https://security.microsoft.com.
- У розділі Cloud Apps виберіть Policies, а потім Policy management.
- Натисніть All policies, далі виберіть Create policy та оберіть Activity policy.
- Введіть назву політики та налаштуйте такі параметри:
- Policy severity: High severity
- Category: Privileged accounts
- Act on: Single activity
- Select a filter: Activity type equals Log on
- Add a filter: User name equals
<Emergency access account>із роллю Any role
- Додайте всі облікові записи екстреного доступу до цієї політики (або створіть окремі політики для кожного).
- Виберіть спосіб сповіщення, наприклад Send alert as email, та налаштуйте отримувачів для повідомлень.
Відповідність стандартам
- CIS Microsoft 365 Foundations Benchmark 5.0.0 2.2.1 (E5 Level 1)
- Довідка: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/security-emergency-access#monitor-sign-in-and-audit-logs
- Довідка: https://learn.microsoft.com/en-us/defender-cloud-apps/control-cloud-apps-with-policies
Пов'язані ресурси
- Monitor sign-in and audit logs for emergency access accounts
- Control cloud apps with policies in Defender for Cloud Apps