Exposure-skanningar
Underhålls av: Aether365 Team Målgrupp: IT-administratörer och säkerhetsteam Omfattning: Exposure-skanningens genomförande och fyndkategorier
Exposure-skanningar analyserar din Microsoft 365-tenant för riskfyllda eller felkonfigurerade inställningar. Till skillnad från compliance-skanningar, som testar mot en fast standardchecklista, utvärderar exposure-skanningar om specifika konfigurationer skapar meningsfull säkerhetsrisk i din miljö.
Resultat mappas med OCSF (Open Cybersecurity Schema Framework)-formatet och grupperas per M365-tjänstområde.
Analyserade tjänster
Entra ID (Azure Active Directory)
Entra ID-kontroller fokuserar på identitets- och åtkomstrisk:
- MFA-tillämpningsluckor - användare eller grupper undantagna från MFA
- Policytäckning för villkorsstyrd åtkomst - inloggningsrisk ej täckt
- Privilegierade rolltilldelningar - permanenta tilldelningar istället för PIM
- Gäst- och extern identitetsåtkomst
- Exponering mot äldre autentiseringsprotokoll
- Konfiguration av självbetjäning för lösenordsåterställning (SSPR)
- Inställningar för lösenordsskydd
Exchange Online
Exchange-kontroller identifierar e-postsäkerhetsrisk:
- Vidarekopplingsregler som exfiltrerar data externt
- Klientåtkomstregler som tillåter äldre protokoll (IMAP, POP3, Basic Auth)
- Luckor i anti-phishing- och anti-spoofing-policyer
- DKIM-, DMARC- och SPF-konfiguration
- Inställningar för automatisk extern vidarekoppling
- Policytäckning för Safe Attachments och Safe Links
SharePoint Online och OneDrive
SharePoint-kontroller analyserar datadelningsrisk:
- Inställningar för extern delning (Anyone-länkar, gäståtkomst)
- Standardtyp för delningslänk
- Delningsöverstyrningar på webbplatsnivå
- Åtkomst via äldre autentisering
Microsoft Teams
Teams-kontroller täcker samarbete och extern åtkomst:
- Inställningar för extern federation (vem som kan initiera kontakt)
- Policyer för gäståtkomst
- Inställningar för mötesdeltagande (anonym anslutning, externa deltagare)
- Lagring och kvarhållning av mötesinspelningar
Microsoft Defender
Defender-kontroller granskar skyddstäckning:
- Policystatus för Defender for Office 365
- Täckning för Safe Attachments och Safe Links
- Inställningar för Zero-hour Auto Purge (ZAP)
- Aktivering av Attack Simulation Training
Microsoft Intune
Intune-kontroller utvärderar enhetshanteringstäckning:
- Registrering av policyer för enhetsefterlevnad
- Villkorsstyrd åtkomst som kräver efterlevnad
- Krypteringskrav på hanterade enheter
- Policytäckning för Mobile App Management (MAM)
Allvarlighetsnivåer
Varje fynd tilldelas en av fyra allvarlighetsnivåer:
| Allvarlighet | Beskrivning |
|---|---|
| Kritisk | Felkonfiguration med hög påverkan, vanligt exploaterad, omedelbar risk |
| Hög | Betydande exponering, bör åtgärdas snarast |
| Medel | Måttlig risk, ofta mildrad av andra kontroller på plats |
| Låg | Lucka i bästa praxis, lägre direkt risk |
Läsa exposure-resultat
Exposure-skanningsresultat i instrumentpanelen visar:
- Tjänst - M365-tjänstområdet (t.ex. Entra ID, Exchange)
- Fynd - En klarspråkig beskrivning av felkonfigurationen
- Allvarlighet - Critical / High / Medium / Low
- Status - Pass / Fail / Manual (manuella kontroller kräver mänsklig verifiering)
- Åtgärd - Steg-för-steg-instruktioner för åtgärd
Fynd markerade som Manual kan inte utvärderas automatiskt och kräver att en person granskar de refererade inställningarna.
Omfattning och begränsningar
Exposure-skanningar använder skrivskyddad åtkomst och kan inte detektera:
- Konfiguration som kräver utökade behörigheter utöver de som beviljats vid samtycke
- Inställningar för tredjepartsapplikationer inom M365
- On-premises Active Directory-konfiguration (enbart moln)
- Historiska ändringar eller granskningslogganalys (använd compliance-skanningar för kontroller av granskningsloggning)