Skany exposure
Autor: Zespół Aether365 Odbiorcy: Administratorzy IT i zespoły bezpieczeństwa Zakres: Wykonywanie skanów exposure i kategorie znalezisk
Skany exposure analizują Twojego tenanta Microsoft 365 pod kątem ryzykownych lub błędnych ustawień. W przeciwieństwie do skanów compliance, które testują według stałej listy kontrolnej benchmarku, skany exposure oceniają, czy konkretne konfiguracje tworzą rzeczywiste ryzyko bezpieczeństwa w Twoim środowisku.
Wyniki są mapowane przy użyciu formatu OCSF (Open Cybersecurity Schema Framework) i grupowane według obszaru usługi M365.
Analizowane usługi
Entra ID (Azure Active Directory)
Kontrole Entra ID skupiają się na ryzyku tożsamości i dostępu:
- Luki w wymuszaniu MFA - użytkownicy lub grupy wyłączone z MFA
- Pokrycie polityk dostępu warunkowego - brak pokrycia ryzyka logowania
- Przypisania ról uprzywilejowanych - stałe przypisania zamiast PIM
- Dostęp gości i tożsamości zewnętrznych
- Narażenie na przestarzałe protokoły uwierzytelniania
- Konfiguracja samodzielnego resetowania hasła (SSPR)
- Ustawienia ochrony haseł
Exchange Online
Kontrole Exchange identyfikują ryzyko bezpieczeństwa poczty e-mail:
- Reguły przekazywania poczty eksfiltrujące dane na zewnątrz
- Reguły dostępu klientów zezwalające na przestarzałe protokoły (IMAP, POP3, Basic Auth)
- Luki w politykach anti-phishing i anti-spoofing
- Konfiguracja DKIM, DMARC i SPF
- Ustawienia automatycznego przekazywania na zewnątrz
- Pokrycie polityk Safe Attachments i Safe Links
SharePoint Online i OneDrive
Kontrole SharePoint analizują ryzyko udostępniania danych:
- Ustawienia udostępniania zewnętrznego (linki Anyone, dostęp gości)
- Domyślny typ linku udostępniania
- Nadpisania udostępniania na poziomie witryny
- Dostęp przez przestarzałe uwierzytelnianie
Microsoft Teams
Kontrole Teams obejmują współpracę i dostęp zewnętrzny:
- Ustawienia federacji zewnętrznej (kto może inicjować kontakt)
- Polityki dostępu gości
- Ustawienia dołączania do spotkań (anonimowe dołączanie, uczestnicy zewnętrzni)
- Przechowywanie i retencja nagrań spotkań
Microsoft Defender
Kontrole Defender sprawdzają pokrycie ochrony:
- Status polityk Defender for Office 365
- Pokrycie Safe Attachments i Safe Links
- Ustawienia Zero-hour Auto Purge (ZAP)
- Włączenie symulacji ataków
Microsoft Intune
Kontrole Intune oceniają pokrycie zarządzania urządzeniami:
- Rejestracja w politykach zgodności urządzeń
- Dostęp warunkowy wymuszający zgodność
- Wymagania szyfrowania na zarządzanych urządzeniach
- Pokrycie polityk zarządzania aplikacjami mobilnymi (MAM)
Poziomy ważności
Każde znalezisko ma przypisany jeden z czterech poziomów ważności:
| Ważność | Opis |
|---|---|
| Critical | Błędna konfiguracja o dużym wpływie, często wykorzystywana, natychmiastowe ryzyko |
| High | Istotne narażenie, wymaga szybkiego rozwiązania |
| Medium | Umiarkowane ryzyko, często łagodzone przez inne istniejące kontrole |
| Low | Odchylenie od najlepszych praktyk, niższe bezpośrednie ryzyko |
Odczytywanie wyników exposure
Wyniki skanów exposure w dashboardzie pokazują:
- Service - obszar usługi M365 (np. Entra ID, Exchange)
- Finding - opis błędnej konfiguracji w prostym języku
- Severity - Critical / High / Medium / Low
- Status - Pass / Fail / Manual (kontrole manualne wymagają weryfikacji człowieka)
- Remediation - instrukcje naprawcze krok po kroku
Znaleziska oznaczone Manual nie mogą być automatycznie ocenione i wymagają przeglądu wskazanych ustawień przez człowieka.
Zakres i ograniczenia
Skany exposure korzystają z dostępu tylko do odczytu i nie mogą wykryć:
- Konfiguracji wymagającej wyższych uprawnień niż przyznane podczas consent
- Ustawień aplikacji firm trzecich w M365
- Konfiguracji lokalnego Active Directory (tylko chmura)
- Historycznych zmian lub analizy dziennika audytu (użyj skanów compliance do kontroli rejestrowania audytów)