US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้
- เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
- ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
- เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
- ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
- เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
- เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
- ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]
ที่มา: https://www.us-cert.gov/ncas/alerts/aa20-120a
หมายเหตุเพิ่มเติมจากไอ-ซีเคียว
- ข้อจำกัดของ Microsoft 365 Audit log คือไม่มีข้อมูลอีเมลที่ส่งออกหรือได้รับอีเมล [8] โดยข้อมูลเหล่านั้นจะถูกเก็บใน Message Trace log [9]
- Azure AD มีการออกรายงานเกี่ยวกับพฤติกรรมของผู้ใช้งานที่ผิดปกติ ซึ่งผู้ดูแลระบบสามารถตรวจสอบได้จาก Sign-in activity reports [10], Risky sign-ins report [11] และ Users flagged for risk report [12] ผู้ดูแลระบบควรหมั่นตรวจสอบรายงานดังกล่าวเพื่อที่จะรับทราบได้ทันท่วงทีหากมีเหตุการณ์ผิดปกติ เช่น จะพบการรายงานบัญชีผู้ใช้งานที่มีการเข้าสู่ระบบจากประเทศที่ผิดปกติ
- ผู้ดูแลระบบควรศึกษา Top 10 ways to secure Microsoft 365 for business plans [13] ซึ่งเป็นคำแนะนำของทางไมโครซอฟต์ในการรักษาความปลอดภัยเพิ่มเติม