Skeny expozície
Skeny expozície analyzujú váš Microsoft 365 tenant a hľadajú rizikové alebo nesprávne nakonfigurované nastavenia. Na rozdiel od skenov zhody, ktoré testujú oproti pevnému zoznamu štandardov, skeny expozície vyhodnocujú, či konkrétne konfigurácie vytvárajú reálne bezpečnostné riziko vo vašom prostredí.
Výsledky sú mapované pomocou formátu OCSF (Open Cybersecurity Schema Framework) a zoskupené podľa oblasti služieb M365.
Analyzované služby
Entra ID (Azure Active Directory)
Kontroly Entra ID sa zameriavajú na riziko identity a prístupu:
- Medzery vo vynútení MFA - používatelia alebo skupiny vylúčení z MFA
- Pokrytie politík podmieneného prístupu - riziko prihlásenia nie je pokryté
- Priradenia privilegovaných rolí - trvalé priradenia namiesto PIM
- Prístup hostí a externých identít
- Expozícia starých autentifikačných protokolov
- Konfigurácia samoobslužného resetovania hesla (SSPR)
- Nastavenia ochrany hesiel
Exchange Online
Kontroly Exchange identifikujú riziko zabezpečenia e-mailov:
- Pravidlá preposielania pošty, ktoré exfiltrujú dáta externe
- Pravidlá prístupu klientov povoľujúce staré protokoly (IMAP, POP3, Basic Auth)
- Medzery v politikách anti-phishingu a anti-spoofingu
- Konfigurácia DKIM, DMARC a SPF
- Nastavenia automatického externého preposielania
- Pokrytie politík Safe Attachments a Safe Links
SharePoint Online a OneDrive
Kontroly SharePointu analyzujú riziko zdieľania dát:
- Nastavenia externého zdieľania (odkazy pre kohokoľvek, prístup hostí)
- Predvolený typ odkazu na zdieľanie
- Prepísania zdieľania na úrovni stránok
- Prístup cez staré metódy autentifikácie
Microsoft Teams
Kontroly Teams pokrývajú spoluprácu a externý prístup:
- Nastavenia externej federácie (kto môže iniciovať kontakt)
- Politiky prístupu hostí
- Nastavenia pripojenia k stretnutiam (anonymné pripojenie, externí účastníci)
- Ukladanie a uchovávanie záznamov stretnutí
Microsoft Defender
Kontroly Defendera skúmajú pokrytie ochrany:
- Stav politík Defender for Office 365
- Pokrytie Safe Attachments a Safe Links
- Nastavenia Zero-hour Auto Purge (ZAP)
- Zapnutie simulácie útokov
Microsoft Intune
Kontroly Intune vyhodnocujú pokrytie správy zariadení:
- Registrácia politík zhody zariadení
- Podmienený prístup vynucujúci zhodu
- Požiadavky na šifrovanie spravovaných zariadení
- Pokrytie politík správy mobilných aplikácií (MAM)
Úrovne závažnosti
Každý nález má priradenú jednu zo štyroch úrovní závažnosti:
| Závažnosť | Popis |
|---|---|
| Kritická | Závažná nesprávna konfigurácia, bežne zneužívaná, okamžité riziko |
| Vysoká | Významná expozícia, mala by byť promptne riešená |
| Stredná | Mierne riziko, často zmierňované inými existujúcimi kontrolami |
| Nízka | Medzera v osvedčených postupoch, nižšie priame riziko |
Čítanie výsledkov expozície
Výsledky skenu expozície v dashboarde zobrazujú:
- Služba - oblasť služby M365 (napr. Entra ID, Exchange)
- Nález - popis nesprávnej konfigurácie v bežnom jazyku
- Závažnosť - Kritická / Vysoká / Stredná / Nízka
- Stav - Úspešná / Neúspešná / Manuálna (manuálne kontroly vyžadujú overenie človekom)
- Náprava - podrobné pokyny na opravu
Nálezy označené Manuálna nie je možné automaticky vyhodnotiť a vyžadujú, aby človek skontroloval uvedené nastavenia.
Rozsah a obmedzenia
Skeny expozície používajú prístup len na čítanie a nedokážu zistiť:
- Konfiguráciu vyžadujúcu vyššie oprávnenia než tie udelené počas súhlasu
- Nastavenia aplikácií tretích strán v rámci M365
- Konfiguráciu lokálneho Active Directory (iba cloud)
- Historické zmeny alebo analýzu auditných záznamov (na kontroly auditného protokolovania použite skeny zhody)