Ekspozīcijas skenēsanas
Ekspozīcijas skenēsanas analizē jūsu Microsoft 365 nomnieku, meklējot riskantus vai nepareizi konfigurētus iestatījumus. Atšķirībā no atbilstības skenēsanām, kas pārbauda pret fiksētu etalonu kontrolsarakstu, ekspozīcijas skenēsanas novērtē, vai konkrētas konfigurācijas rada nozīmīgu drosibas risku jūsu vidē.
Rezultāti tiek kartēti, izmantojot OCSF (Open Cybersecurity Schema Framework) formātu un grupēti pēc M365 pakalpojuma jomas.
Analizētie pakalpojumi
Entra ID (Azure Active Directory)
Entra ID pārbaudes fokusējas uz identitātes un piekļuves risku:
- MFA nodrošināsanas trūkumi - lietotāji vai grupas, kas izslēgtas no MFA
- Nosacītās piekļuves politiku pārklājums - pierakstīšanās risks nav aptveris
- Privilegēto lomu piešķīrumi - pastāvīgi piešķīrumi PIM vietā
- Viesu un ārējo identitāšu piekļuve
- Mantoto autentifikācijas protokolu eksponēsana
- Pasapkalposanas paroļu atiestatīsanas (SSPR) konfigurācija
- Paroļu aizsardzības iestatījumi
Exchange Online
Exchange pārbaudes identificē e-pasta drosibas riskus:
- Pasta pārsūtīsanas noteikumi, kas eksfiltrē datus ārēji
- Klientu piekļuves noteikumi, kas atļauj mantotos protokolus (IMAP, POP3, Basic Auth)
- Pret pikšķerēsanu un pret viltotas izcelsmes politiku trūkumi
- DKIM, DMARC un SPF konfigurācija
- Automātiskās ārējās pārsūtīsanas iestatījumi
- Safe Attachments un Safe Links politiku pārklājums
SharePoint Online un OneDrive
SharePoint pārbaudes analizē datu koplietosanas risku:
- Ārējās koplietosanas iestatījumi (Anyone saites, viesu piekļuve)
- Noklusējuma koplietosanas saites tips
- Vietnes līmeņa koplietosanas pārrakstīsanas
- Mantotās autentifikācijas piekļuve
Microsoft Teams
Teams pārbaudes aptver sadarbību un ārējo piekļuvi:
- Ārējās federācijas iestatījumi (kas var iniciēt kontaktu)
- Viesu piekļuves politikas
- Sapulču pievienosanās iestatījumi (anonīma pievienosanās, ārējie dalībnieki)
- Sapulču ierakstu glabāsana un saglabāsana
Microsoft Defender
Defender pārbaudes pārskata aizsardzības pārklājumu:
- Defender for Office 365 politiku statuss
- Safe Attachments un Safe Links pārklājums
- Zero-hour Auto Purge (ZAP) iestatījumi
- Uzbrukumu simulācijas apmācības iespējosana
Microsoft Intune
Intune pārbaudes novērtē ierīču pārvaldības pārklājumu:
- Ierīču atbilstības politiku reģistrācija
- Nosacītā piekļuve, kas nodrošina atbilstību
- Sifrēsanas prasības pārvaldītajām ierīcēm
- Mobilo lietojumprogrammu pārvaldības (MAM) politiku pārklājums
Smaguma līmeņi
Katram konstatējumam tiek piešķirts viens no četriem smaguma līmeņiem:
| Smagums | Apraksts |
|---|---|
| Kritisks | Augsta riska nepareiza konfigurācija, bieži ekspluatēta, tūlītējs risks |
| Augsts | Būtiska eksponēsana, jārisina nekavējoties |
| Vidējs | Mērens risks, bieži mazināts ar citām kontrolēm |
| Zems | Labākās prakses trūkums, zemāks tiešais risks |
Ekspozīcijas rezultātu lasīsana
Ekspozīcijas skenēsanas rezultāti informācijas panelī rāda:
- Pakalpojums - M365 pakalpojuma joma (piemēram, Entra ID, Exchange)
- Konstatējums - Vienkārsā valodā aprakstīta nepareizā konfigurācija
- Smagums - Critical / High / Medium / Low
- Statuss - Pass / Fail / Manual (manuālās pārbaudes prasa cilvēka verifikāciju)
- Novērsana - Soli pa solim labosanas norādījumi
Konstatējumi, kas atzīmēti kā Manual, nevar tikt automātiski novērtēti un prasa cilvēka pārskatīsanu attiecīgajiem iestatījumiem.
Tvērums un ierobezojumi
Ekspozīcijas skenēsanas izmanto tikai lasīsanas piekļuvi un nevar konstatēt:
- Konfigurāciju, kam nepieciesamas paaugstinātas atļaujas ārpus piekrišanā piešķirtajām
- Treso pušu lietojumprogrammu iestatījumus M365 ietvaros
- Lokālā Active Directory konfigurāciju (tikai mākonis)
- Vēsturiskās izmaiņas vai audita izsekosanas analīzi (audita reģistrēsanas pārbaudēm izmantojiet atbilstības skenēsanas)