คำแนะนำในการรักษาความปลอดภัยให้ Microsoft 365 จาก US-CERT

US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้

  1. เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
  2. ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
  3. เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
  4. ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
  5. เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
  6. เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
  7. ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]

ที่มา: https://www.us-cert.gov/ncas/alerts/aa20-120a

หมายเหตุเพิ่มเติมจากไอ-ซีเคียว

  • ข้อจำกัดของ Microsoft 365 Audit log คือไม่มีข้อมูลอีเมลที่ส่งออกหรือได้รับอีเมล [8] โดยข้อมูลเหล่านั้นจะถูกเก็บใน Message Trace log [9]
  • Azure AD มีการออกรายงานเกี่ยวกับพฤติกรรมของผู้ใช้งานที่ผิดปกติ ซึ่งผู้ดูแลระบบสามารถตรวจสอบได้จาก Sign-in activity reports [10], Risky sign-ins report [11] และ Users flagged for risk report [12] ผู้ดูแลระบบควรหมั่นตรวจสอบรายงานดังกล่าวเพื่อที่จะรับทราบได้ทันท่วงทีหากมีเหตุการณ์ผิดปกติ เช่น จะพบการรายงานบัญชีผู้ใช้งานที่มีการเข้าสู่ระบบจากประเทศที่ผิดปกติ
  • ผู้ดูแลระบบควรศึกษา Top 10 ways to secure Microsoft 365 for business plans [13] ซึ่งเป็นคำแนะนำของทางไมโครซอฟต์ในการรักษาความปลอดภัยเพิ่มเติม

อ้างอิง