Exposure сканирания
Exposure сканиранията анализират вашия Microsoft 365 tenant за рискови или неправилно конфигурирани настройки. За разлика от compliance сканиранията, които проверяват спрямо фиксиран стандарт, exposure сканиранията оценяват дали конкретни конфигурации създават реален риск за сигурността във вашата среда.
Резултатите се съпоставят по формата OCSF (Open Cybersecurity Schema Framework) и са групирани по M365 услуга.
Анализирани услуги
Entra ID (Azure Active Directory)
Проверките на Entra ID се фокусират върху риска за идентичността и достъпа:
- Пропуски в налагането на MFA - потребители или групи, изключени от MFA
- Покритие на политиките за условен достъп - непокрит риск при вход
- Присвояване на привилегировани роли - постоянни присвоявания вместо PIM
- Достъп за гости и външни идентичности
- Излагане на наследени протоколи за удостоверяване
- Конфигурация на самостоятелно нулиране на парола (SSPR)
- Настройки за защита на пароли
Exchange Online
Проверките на Exchange идентифицират рискове за сигурността на имейла:
- Правила за пренасочване на поща, извеждащи данни навън
- Правила за клиентски достъп, разрешаващи наследени протоколи (IMAP, POP3, Basic Auth)
- Пропуски в политиките срещу фишинг и подправяне
- Конфигурация на DKIM, DMARC и SPF
- Настройки за автоматично външно пренасочване
- Покритие на политиките за Safe Attachments и Safe Links
SharePoint Online и OneDrive
Проверките на SharePoint анализират риска при споделяне на данни:
- Настройки за външно споделяне (линкове за всички, достъп за гости)
- Тип на линка за споделяне по подразбиране
- Промени на споделянето на ниво сайт
- Достъп чрез наследено удостоверяване
Microsoft Teams
Проверките на Teams обхващат сътрудничеството и външния достъп:
- Настройки за външна федерация (кой може да инициира контакт)
- Политики за достъп на гости
- Настройки за присъединяване към срещи (анонимно присъединяване, външни участници)
- Съхранение и задържане на записи от срещи
Microsoft Defender
Проверките на Defender преглеждат покритието на защитата:
- Статус на политиките на Defender for Office 365
- Покритие на Safe Attachments и Safe Links
- Настройки за Zero-hour Auto Purge (ZAP)
- Активиране на обучение за симулация на атаки
Microsoft Intune
Проверките на Intune оценяват покритието на управлението на устройства:
- Регистрация за политика за compliance на устройства
- Условен достъп, налагащ compliance
- Изисквания за криптиране на управлявани устройства
- Покритие на политиката за управление на мобилни приложения (MAM)
Нива на критичност
На всяка констатация се присвоява едно от четири нива на критичност:
| Критичност | Описание |
|---|---|
| Critical | Неправилна конфигурация с голямо въздействие, често експлоатирана, непосредствен риск |
| High | Значително излагане, трябва да се адресира своевременно |
| Medium | Умерен риск, често смекчен от други налични контроли |
| Low | Пропуск в добрите практики, по-нисък директен риск |
Четене на резултати от exposure
Резултатите от exposure сканирането в таблото показват:
- Service - Услугата на M365 (напр. Entra ID, Exchange)
- Finding - Описание на неправилната конфигурация на прост език
- Severity - Critical / High / Medium / Low
- Status - Pass / Fail / Manual (ръчните проверки изискват човешка проверка)
- Remediation - Инструкции стъпка по стъпка за коригиране
Констатациите, маркирани като Manual, не могат да бъдат автоматично оценени и изискват човек да провери посочените настройки.
Обхват и ограничения
Exposure сканиранията използват достъп само за четене и не могат да открият:
- Конфигурации, изискващи повишени разрешения извън предоставените при съгласието
- Настройки на приложения на трети страни в M365
- Конфигурация на локален Active Directory (само облачна)
- Исторически промени или анализ на одитна следа (използвайте compliance сканирания за проверки на одитния дневник)