Algemeen
Deze check controleert op Transportregels in Exchange Online die zijn ingesteld om de ontvanger van e-mail aan te passen (Redirect).
Rationale
Aanvallers gebruiken dit soort regels vaak om data te exfiltreren uit uw Microsoft organisatie. Dat is mogelijk wanneer zij bijvoorbeeld toegang hebben tot het account van een collega. Een andere mogelijkheid is dat een interne medewerker deze methode gebruikt om - bewust dan wel onbewust - gevoelige data te lekken.
Handmatige instructie
Voer deze stappen uit om de instelling aan te passen:
- Open het Exchange beheerpaneel https://admin.exchange.microsoft.com
- Ga naar Mail Flow en Rules
- Vind de regel waar het incident aan refereert en onderzoek of deze gewenst of ongewenst is
- Indien de regel ongewenst is: haal deze weg en voer een vervolgonderzoek uit naar het account van de gebruiker die deze regel heeft aangemaakt om gepaste stappen te bepalen.
Indien de regel gewenst is, kan deze aan een uitzonderingenlijst in Attic worden toegevoegd zodat het niet langer tot alarmen leidt.
CIS Mapping
- CIS Item: 6.2.1 (L1) Ensure all forms of mail forwarding are blocked and/or disabled
- Profile: E3 Level 1
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.