Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Protection Alert meldingen [CHK-1420] 

Deze check controleert of relevante systeem Protection Alert regels in Microsoft 365 meldingen doorsturen naar de geconfigureerde e-mailadressen. Dekking kan direct op de systeemregel zelf worden bereikt of via aangepaste [ATTIC] kopieën die door Attic worden aangemaakt.

Microsoft 365 bevat ingebouwde Protection Alert regels die verdachte activiteiten en beveiligingsbedreigingen in de tenant detecteren. Deze regels genereren meldingen voor gebeurtenissen zoals malware-detecties, phishing-campagnes en ongebruikelijke admin-activiteiten. Standaard worden deze meldingen alleen naar global admin-accounts gestuurd, die mogelijk niet consistent worden gemonitord.

Reden

Beveiligingsmeldingen zijn tijdgevoelig. Wanneer een Protection Alert afgaat — bijvoorbeeld bij het detecteren van een phishing-campagne of malware — moet het responsteam onmiddellijk op de hoogte worden gebracht. Als meldingen alleen naar global admin-postvakken gaan die niet actief worden gemonitord, kunnen kritieke beveiligingsincidenten uren of zelfs dagen onopgemerkt blijven.

Microsoft staat niet toe dat meldingsontvangers op ingebouwde systeem Protection Alert regels worden gewijzigd. Dit is een aanzienlijke beperking voor organisaties die vertrouwen op een speciaal beveiligingspostvak of een gedeelde SOC-inbox om meldingen te triageren. Om dit te omzeilen maakt Attic aangepaste kopieën van de relevante systeemregels (met voorvoegsel [ATTIC]) die meldingen doorsturen naar de geconfigureerde e-mailadressen.

De check evalueert dekking op basis van een configureerbare severity-drempel. Standaard zijn alleen High severity regels in scope, maar dit kan worden uitgebreid naar Medium en Low severity regels. Regels die interne Microsoft alert-pipelines gebruiken (niet-Activity ThreatType) worden uitgesloten omdat deze niet als aangepaste Protection Alerts kunnen worden gerepliceerd.

Fix

Een geautomatiseerde fix is beschikbaar via Attic.

Wanneer de fix wordt toegepast, maakt deze [ATTIC] kopieën aan van niet-gedekte systeem Protection Alert regels met de geconfigureerde meldingsontvangers. Als een kopie al bestaat maar een of meer vereiste e-mailadressen mist, voegt de fix de ontbrekende adressen toe.

Handmatige stappen:

  1. Open het Microsoft Purview compliance portal en navigeer naar Policies > Alert policy
  2. Identificeer de systeemregel die dekking nodig heeft
  3. Maak een nieuw aangepast alert policy aan met dezelfde Operation en Severity als de systeemregel
  4. Geef het de naam [ATTIC] <oorspronkelijke regelnaam> voor consistentie
  5. Stel de meldingsontvangers in op de vereiste e-mailadressen
  6. Schakel het alert policy in

Impact

Wanneer de check slaagt, sturen alle relevante systeem Protection Alert regels meldingen door naar de vereiste e-mailadressen, direct of via [ATTIC] kopieën.

Wanneer de check faalt, zijn een of meer systeemregels niet gedekt. Dit betekent dat beveiligingsmeldingen van die regels mogelijk alleen global admin-accounts bereiken en gemist kunnen worden. Het toepassen van de fix maakt de benodigde [ATTIC] kopieën aan om volledige dekking te garanderen.

De fix wijzigt of schakelt geen bestaande systeemregels uit. Er worden alleen aanvullende aangepaste alert policies aangemaakt die de detectielogica spiegelen en meldingen doorsturen naar de geconfigureerde postvakken.

Meer informatie