Коригиране на констатации

Това ръководство обяснява как ефективно да преминете през неуспешните проверки и да проверите корекциите си.

Приоритизиране

Не всички неуспешни проверки са еднакво важни. Започнете с проблемите, които имат най-голямо въздействие и изискват най-малко усилия за коригиране.

Започнете тук:

1. Отворете завършено сканиране от таблото или от страницата Scans
2. Филтрирайте само по Failed резултати
3. Сортирайте по критичност - работете първо по Critical и High констатациите

Добро правило: коригирайте всичко Critical в рамките на 24 часа, High в рамките на една седмица, Medium в рамките на един спринт, Low като част от текущата поддръжка.

Работа по неуспешна проверка

1. Прочетете обяснението за риска

Разберете защо конфигурацията е проблем, преди да я промените. Някои контроли имат компромиси - например блокирането на наследеното удостоверяване може да наруши работата на по-стари устройства или приложения. Знайте какво променяте.

2. Прегледайте детайлите

За compliance сканирания всяка неуспешна проверка показва идентификатор на контрола, заглавие и критичност. Разгънете реда, за да видите пълното описание и стъпки за коригиране.

За exposure сканирания всяка неуспешна констатация показва услугата, нивото на риск (HIGH или MED) и статуса. Разгънете картата, за да видите насоките за коригиране и линк към външна документация.

3. Следвайте стъпките за коригиране

Стъпките за коригиране се предоставят в два формата, когато е приложимо:

Административен център (браузър): Инструкции стъпка по стъпка през интерфейсите на Microsoft 365 или Azure.

PowerShell: Команди, които можете да изпълните директно, ако предпочитате скриптиране или трябва да приложите промени масово.

Pro и Enterprise

Подробни стъпки за коригиране са налични в плановете Pro и Enterprise. Потребителите на безплатния план виждат резултата от проверката и покана за ъпгрейд за пълни насоки.

4. Приложете корекцията

Направете промяната във вашия Microsoft 365 tenant. Ако коригирате в продуктивна среда, имайте предвид:

• Тествайте първо в тестов tenant или с ограничена група потребители
• Планирайте промените за прозорец за поддръжка
• Подгответе план за отмяна - повечето настройки могат да бъдат върнати, ако потребителите са засегнати

5. Проверете с ново сканиране

След коригиране стартирайте ново сканиране от таблото (бутон Run Scan). Когато сканирането завърши, отворете резултатите и потвърдете, че проверката вече показва Passed или Secure.

TIP

Сканиранията отнемат 10 до 15 минути. Получавате имейл известие при завършване, ако имейл отчетите са конфигурирани.

Типични коригиращи действия

Активиране на MFA за всички администратори

Проверка: CIS.M365.1.1.1Къде: Microsoft Entra admin center > Users > Per-user MFA или Conditional Access

Най-бързият начин да изискате MFA за администратори е чрез политика за условен достъп, насочена към ролите в директорията, присвоени на административните акаунти. Per-user MFA е наследен метод и не налага изискване при влизане.

Деактивиране на наследено удостоверяване

Проверка: CIS.M365.1.3.1Къде: Microsoft Entra admin center > Security > Conditional Access

Създайте политика за условен достъп, която блокира влизанията чрез наследени протоколи за удостоверяване (SMTP, IMAP, POP3, EWS). Наследеното удостоверяване заобикаля MFA. Почти всички съвременни клиенти поддържат модерно удостоверяване - проверете преди блокиране.

Активиране на единния одитен дневник

Проверка: CIS.M365.3.1.1Къде: Microsoft Purview compliance portal > Audit

Изпълнете в PowerShell:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Изчакайте 30-60 минути, докато се появят одитни събития след активирането.

Активиране на одит на пощенски кутии

Проверка: CIS.M365.6.1.1Къде: Exchange Online PowerShell

Set-OrganizationConfig -AuditDisabled $false
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -AuditEnabled $true

Блокиране на външна Teams федерация от неуправлявани домейни

Къде: Microsoft Teams admin center > External access

Задайте външен достъп на Allow specific external domains вместо да разрешавате всички външни организации.

Проследяване на напредъка

След серия от коригиращи действия стартирайте ново сканиране и проверете графиката на тенденцията на страницата Scans, за да видите тенденцията на оценката ви във времето. Таблото също показва индикатор за промяна (напр. +5 pts), сравняващ последното ви сканиране с предходното.

За доказателства за compliance използвайте бутона Download на всяка страница с детайли за сканиране за експорт на пълни отчети или експортирайте резултати като CSV от страницата Scans.

Вижте Експортиране на резултати за опции за експорт чрез API.