Exposure scans
Onderhouden door: Aether365 Team Doelgroep: IT-beheerders en beveiligingsteams Scope: Uitvoering van exposure scans en bevindingscategorieen
Exposure scans analyseren je Microsoft 365 tenant op risicovolle of verkeerd geconfigureerde instellingen. In tegenstelling tot compliance scans, die toetsen aan een vaste benchmarkchecklist, evalueren exposure scans of specifieke configuraties een betekenisvol beveiligingsrisico creeren in je omgeving.
Resultaten worden gemapped met het OCSF (Open Cybersecurity Schema Framework)-formaat en gegroepeerd per M365-dienstgebied.
Geanalyseerde diensten
Entra ID (Azure Active Directory)
Entra ID-controles richten zich op identiteits- en toegangsrisico:
- MFA-afdwingingshiaten - gebruikers of groepen uitgesloten van MFA
- Dekking van conditional access-beleid - aanmeldrisico niet gedekt
- Geprivilegieerde roltoewijzingen - permanente toewijzingen in plaats van PIM
- Gast- en externe identiteitstoegang
- Blootstelling aan verouderde authenticatieprotocollen
- Configuratie van selfservice-wachtwoordherstel (SSPR)
- Instellingen voor wachtwoordbeveiliging
Exchange Online
Exchange-controles identificeren e-mailbeveiligingsrisico's:
- E-maildoorstuurregels die gegevens extern exfiltreren
- Clienttoegangsregels die verouderde protocollen toestaan (IMAP, POP3, Basic Auth)
- Hiaten in anti-phishing- en anti-spoofingbeleid
- DKIM-, DMARC- en SPF-configuratie
- Instellingen voor automatisch extern doorsturen
- Dekking van Safe Attachments- en Safe Links-beleid
SharePoint Online en OneDrive
SharePoint-controles analyseren gegevensdelingsrisico's:
- Externe deelinstellingen (Iedereen-koppelingen, gasttoegang)
- Standaard type deelkoppeling
- Overschrijvingen van deelinstellingen op siteniveau
- Toegang via verouderde authenticatie
Microsoft Teams
Teams-controles dekken samenwerking en externe toegang:
- Instellingen voor externe federatie (wie kan contact initieren)
- Gasttoegangsbeleid
- Instellingen voor deelname aan vergaderingen (anonieme deelname, externe deelnemers)
- Opslag en retentie van vergaderopnames
Microsoft Defender
Defender-controles beoordelen de beschermingsdekking:
- Beleidsstatus van Defender for Office 365
- Dekking van Safe Attachments en Safe Links
- Instellingen voor Zero-hour Auto Purge (ZAP)
- Activering van aanvalssimulatie-training
Microsoft Intune
Intune-controles evalueren de dekking van apparaatbeheer:
- Inschrijving voor compliancebeleid voor apparaten
- Conditional access die compliance afdwingt
- Versleutelingsvereisten voor beheerde apparaten
- Dekking van Mobile App Management (MAM)-beleid
Ernstniveaus
Elke bevinding krijgt een van vier ernstniveaus toegewezen:
| Ernstniveau | Beschrijving |
|---|---|
| Critical | Verkeerde configuratie met hoge impact, veelgebruikt exploitatiepad, direct risico |
| High | Significante blootstelling, moet snel worden aangepakt |
| Medium | Matig risico, vaak beperkt door andere aanwezige controles |
| Low | Afwijking van best practice, lager direct risico |
Exposure resultaten lezen
Exposure scanresultaten in het dashboard tonen:
- Dienst - Het M365-dienstgebied (bijv. Entra ID, Exchange)
- Bevinding - Een begrijpelijke beschrijving van de verkeerde configuratie
- Ernstniveau - Critical / High / Medium / Low
- Status - Pass / Fail / Manual (handmatige controles vereisen menselijke verificatie)
- Herstel - Stapsgewijze herstelinstructies
Bevindingen gemarkeerd als Manual kunnen niet automatisch worden geevalueerd en vereisen menselijke beoordeling van de betreffende instellingen.
Bereik en beperkingen
Exposure scans gebruiken alleen-lezen toegang en kunnen het volgende niet detecteren:
- Configuratie die verhoogde machtigingen vereist buiten die welke tijdens de consent zijn verleend
- Instellingen van applicaties van derden binnen M365
- On-premises Active Directory-configuratie (alleen cloud)
- Historische wijzigingen of audittrailanalyse (gebruik compliance scans voor auditlogging-controles)