Ekspozicijos nuskaitymai
Autorius: Aether365 komanda Auditorija: IT administratoriai ir saugumo komandos Apimtis: Ekspozicijos nuskaitymo vykdymas ir radinių kategorijos
Ekspozicijos nuskaitymai analizuoja jūsų Microsoft 365 organizaciją, ieškodami rizikingų ar neteisingai sukonfigūruotų nustatymų. Skirtingai nuo atitikties nuskaitymų, kurie tikrina pagal fiksuotą lyginamojo standarto kontrolių sąrašą, ekspozicijos nuskaitymai vertina, ar konkrečios konfigūracijos kelia reikšmingą saugumo riziką jūsų aplinkoje.
Rezultatai susiejami naudojant OCSF (Open Cybersecurity Schema Framework) formatą ir grupuojami pagal M365 paslaugų sritį.
Analizuojamos paslaugos
Entra ID (Azure Active Directory)
Entra ID patikrinimai orientuojasi į tapatybės ir prieigos riziką:
- MFA užtikrinimo spragos - vartotojai ar grupės, išskirti iš MFA
- Sąlyginės prieigos politikų aprėptis - neaprėpta prisijungimo rizika
- Privilegijuotų vaidmenų priskyrimai - nuolatiniai priskyrimai vietoj PIM
- Svečių ir išorinių tapatybių prieiga
- Senosios autentifikacijos protokolų ekspozicija
- Savitarnos slaptažodžio atkūrimo (SSPR) konfigūracija
- Slaptažodžio apsaugos nustatymai
Exchange Online
Exchange patikrinimai nustato el. pašto saugumo rizikas:
- Pašto peradresavimo taisyklės, eksfiltuojančios duomenis išorėn
- Klientų prieigos taisyklės, leidžiančios senus protokolus (IMAP, POP3, Basic Auth)
- Apsaugos nuo sukčiavimo ir apsaugos nuo klastojimo politikų spragos
- DKIM, DMARC ir SPF konfigūracija
- Automatinio išorinio peradresavimo nustatymai
- Safe Attachments ir Safe Links politikų aprėptis
SharePoint Online ir OneDrive
SharePoint patikrinimai analizuoja duomenų bendrinimo riziką:
- Išorinio bendrinimo nustatymai (Anyone nuorodos, svečių prieiga)
- Numatytasis bendrinimo nuorodos tipas
- Svetainės lygio bendrinimo perrašymai
- Senosios autentifikacijos prieiga
Microsoft Teams
Teams patikrinimai apima bendradarbiavimo ir išorinės prieigos sritis:
- Išorinės federacijos nustatymai (kas gali inicijuoti kontaktą)
- Svečių prieigos politikos
- Susitikimų prisijungimo nustatymai (anoniminis prisijungimas, išoriniai dalyviai)
- Susitikimų įrašų saugojimas ir saugojimo trukmė
Microsoft Defender
Defender patikrinimai vertina apsaugos aprėptį:
- Defender for Office 365 politikos būsena
- Safe Attachments ir Safe Links aprėptis
- Zero-hour Auto Purge (ZAP) nustatymai
- Atakų simuliacijos mokymo įjungimas
Microsoft Intune
Intune patikrinimai vertina įrenginių valdymo aprėptį:
- Įrenginių atitikties politikų registravimas
- Sąlyginė prieiga, užtikrinanti atitiktį
- Šifravimo reikalavimai valdomiems įrenginiams
- Mobiliųjų programų valdymo (MAM) politikų aprėptis
Rimtumo lygiai
Kiekvienam radiniui priskiriamas vienas iš keturių rimtumo lygių:
| Rimtumas | Aprašymas |
|---|---|
| Kritinis | Didelės įtakos neteisinga konfigūracija, dažnai eksploatuojama, neatidėliotina rizika |
| Aukštas | Reikšminga ekspozicija, turi būti nedelsiant sprendžiama |
| Vidutinis | Vidutinė rizika, dažnai mažinama kitomis taikomomis kontrolėmis |
| Žemas | Geriausios praktikos spraga, mažesnė tiesioginė rizika |
Ekspozicijos rezultatų skaitymas
Ekspozicijos nuskaitymo rezultatai prietaisų skydelyje rodo:
- Paslauga - M365 paslaugos sritis (pvz., Entra ID, Exchange)
- Radinys - Aiškus neteisingos konfigūracijos aprašymas
- Rimtumas - Critical / High / Medium / Low
- Būsena - Pass / Fail / Manual (rankiniai patikrinimai reikalauja žmogaus patikrinimo)
- Ištaisymas - Nuoseklios ištaisymo instrukcijos
Radiniai, pažymėti Manual, negali būti automatiškai įvertinti ir reikalauja, kad žmogus peržiūrėtų nurodomus nustatymus.
Apimtis ir apribojimai
Ekspozicijos nuskaitymai naudoja tik skaitymo prieigą ir negali aptikti:
- Konfigūracijos, reikalaujančios aukštesnių teisių nei suteiktos sutikimo metu
- Trečiųjų šalių programų nustatymų M365 viduje
- Vietinės Active Directory konfigūracijos (tik debesyje)
- Istorinių pakeitimų ar audito pėdsako analizės (naudokite atitikties nuskaitymus audito registravimo patikrinimams)