Algemeen
Deze check controleert of mailbox auditlogging op globaal niveau ingeschakeld is.
Rationale
Mailbox Auditing stelt forensische en Incident Response teams in staat om schadelijke activiteit te traceren in het geval van een aanval.
Let op: zonder Advanced Auditing (een E5 functie) hebben de logs een beperkte retentie van 90 dagen.
In de Microsoft configuratie bestaat een setting genaamd AuditDisabled. Deze staat in de standaard configuratie sinds 2019 UIT, maar kan door een beheerder worden aangepast. Het gevolg van uitschakelen is dat handelingen binnen mailboxes niet meer te traceren zijn. Als Auditlogging uitgeschakeld is, kan dit duiden op verschillende scenario's:
- Deze Microsoft365 tenant is oud en bestond al voordat deze instelling als standaard werd geïntroduceerd
- De instelling is bewust aangepast door een medewerker, al dan niet met begrip van de consequenties
- Het account van een beheerder is gecompromitteerd en de aanvaller is bezig om diens handelingen te verbergen
In alle gevallen is het zaak om in geval van een wijziging dit extra te controleren, vandaar dit alarm.
Attic Fix
Voor deze check is een fix beschikbaar! Deze zal via een ticket in Attic worden aangeboden waarna u kunt accepteren.
Handmatige instructie
Voer deze stappen uit om de instelling aan te passen door middel van PowerShell:
- Maak een verbinding met ExchangeOnline d.m.v. Connect-ExchangeOnline
- Voer het volgende commando uit:
Set-OrganizationConfig -AuditDisabled $false
CIS Mapping
- CIS Item: 6.1.1 - Ensure 'AuditDisabled' organizationally is set to 'False'
-
Profile: Level 1
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.