Controle op Mailbox Auditing Omzeiling [CHK-1055]
Deze controle checkt of er mailboxen zijn waarvoor auditlogging wordt omzeild.
Reden
Auditlogging is essentieel om kwaadaardige activiteit te doorgronden. Als de functie bewust wordt uitgeschakeld, kan dit duiden op een aanvaller die sporen probeert te wissen.
Uitkomsten
- Okay: Er zijn geen mailboxen in de tenant waarvoor Auditlogging wordt omzeild
- Warning: Voor tenminste 1 van de mailboxen wordt Auditlogging omzeild
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Handmatige stappen:
- Verbind met Exchange Online via Connect-ExchangeOnline.
- Voer de volgende opdracht uit:
Get-MailboxAuditBypassAssociation -ResultSize Unlimited | where {$_.AuditBypassEnabled -eq $true} | Set-MailboxAuditBypassAssociation -Identity $_.Identity -AuditBypassEnabled $false
Impact
Het uitschakelen van de omzeiling van auditlogging zorgt ervoor dat alle mailboxactiviteiten van de betreffende accounts worden gelogd.