Exposure Scans
Betreut von: Aether365 Team Zielgruppe: IT-Administratoren und Sicherheitsteams Umfang: Ausführung von Exposure Scans und Befundkategorien
Exposure Scans analysieren Ihren Microsoft 365 Tenant auf riskante oder fehlkonfigurierte Einstellungen. Im Gegensatz zu Compliance Scans, die gegen eine feste Benchmark-Checkliste prüfen, bewerten Exposure Scans, ob bestimmte Konfigurationen ein bedeutsames Sicherheitsrisiko in Ihrer Umgebung darstellen.
Ergebnisse werden im OCSF (Open Cybersecurity Schema Framework)-Format abgebildet und nach M365-Dienstbereich gruppiert.
Analysierte Dienste
Entra ID (Azure Active Directory)
Entra ID-Prüfungen konzentrieren sich auf Identitäts- und Zugriffsrisiken:
- MFA-Durchsetzungslücken - Benutzer oder Gruppen, die von MFA ausgenommen sind
- Abdeckung durch Richtlinien für bedingten Zugriff - Anmelderisiko nicht abgedeckt
- Privilegierte Rollenzuweisungen - dauerhafte Zuweisungen statt PIM
- Gast- und externer Identitätszugriff
- Exponierung durch Legacy-Authentifizierungsprotokolle
- Konfiguration der Self-Service-Kennwortzurücksetzung (SSPR)
- Kennwortschutzeinstellungen
Exchange Online
Exchange-Prüfungen identifizieren E-Mail-Sicherheitsrisiken:
- Mail-Weiterleitungsregeln, die Daten extern abfließen lassen
- Client-Zugriffsregeln, die Legacy-Protokolle erlauben (IMAP, POP3, Basic Auth)
- Lücken bei Anti-Phishing- und Anti-Spoofing-Richtlinien
- DKIM-, DMARC- und SPF-Konfiguration
- Automatische externe Weiterleitungseinstellungen
- Abdeckung durch Safe Attachments- und Safe Links-Richtlinien
SharePoint Online und OneDrive
SharePoint-Prüfungen analysieren Datenfreigaberisiken:
- Externe Freigabeeinstellungen (Jeder-Links, Gastzugang)
- Standard-Freigabelinktyp
- Freigabeüberschreibungen auf Website-Ebene
- Legacy-Authentifizierungszugriff
Microsoft Teams
Teams-Prüfungen decken Zusammenarbeit und externen Zugriff ab:
- Einstellungen für externe Föderation (wer Kontakt initiieren kann)
- Gastzugriffsrichtlinien
- Besprechungsbeitrittseinstellungen (anonymer Beitritt, externe Teilnehmer)
- Speicherung und Aufbewahrung von Besprechungsaufzeichnungen
Microsoft Defender
Defender-Prüfungen überprüfen die Schutzabdeckung:
- Status der Defender for Office 365-Richtlinien
- Abdeckung durch Safe Attachments und Safe Links
- Einstellungen für Zero-hour Auto Purge (ZAP)
- Aktivierung von Angriffssimulationstraining
Microsoft Intune
Intune-Prüfungen bewerten die Geräteverwaltungsabdeckung:
- Registrierung für Gerätekonformitätsrichtlinien
- Bedingter Zugriff mit Konformitätsdurchsetzung
- Verschlüsselungsanforderungen für verwaltete Geräte
- Abdeckung durch Richtlinien für mobile App-Verwaltung (MAM)
Schweregrade
Jedem Befund wird einer von vier Schweregraden zugewiesen:
| Schweregrad | Beschreibung |
|---|---|
| Kritisch | Fehlkonfiguration mit hoher Auswirkung, häufig ausgenutzt, sofortiges Risiko |
| Hoch | Erhebliche Exponierung, sollte zeitnah behoben werden |
| Mittel | Moderates Risiko, oft durch andere vorhandene Kontrollen gemindert |
| Niedrig | Best-Practice-Lücke, geringeres direktes Risiko |
Exposure-Ergebnisse lesen
Exposure Scan-Ergebnisse im Dashboard zeigen:
- Dienst - Der M365-Dienstbereich (z.B. Entra ID, Exchange)
- Befund - Eine verständliche Beschreibung der Fehlkonfiguration
- Schweregrad - Kritisch / Hoch / Mittel / Niedrig
- Status - Bestanden / Fehlgeschlagen / Manuell (manuelle Prüfungen erfordern menschliche Überprüfung)
- Behebung - Schritt-für-Schritt-Korrekturanweisungen
Als Manuell markierte Befunde können nicht automatisch bewertet werden und erfordern, dass eine Person die referenzierten Einstellungen überprüft.
Umfang und Einschränkungen
Exposure Scans nutzen schreibgeschützten Zugriff und können Folgendes nicht erkennen:
- Konfigurationen, die erhöhte Berechtigungen über die während des Consents erteilten hinaus erfordern
- Einstellungen von Drittanbieter-Anwendungen innerhalb von M365
- Lokale Active Directory-Konfiguration (nur Cloud)
- Historische Änderungen oder Audit-Trail-Analysen (verwenden Sie Compliance Scans für Überwachungsprotokollprüfungen)