Exposure сканування
Exposure сканування аналізують ваш Microsoft 365 tenant на предмет ризикованих або неправильних налаштувань. На відміну від compliance сканувань, які перевіряють за фіксованим контрольним списком еталону, exposure перевірки оцінюють, чи створюють конкретні конфігурації реальний ризик безпеки у вашому середовищі.
Результати зіставляються у форматі OCSF (Open Cybersecurity Schema Framework) та групуються за сервісами M365.
Аналізовані сервіси
Entra ID (Azure Active Directory)
Перевірки Entra ID зосереджені на ризиках ідентифікації та доступу:
- Прогалини у примусовому MFA - користувачі або групи, виключені з MFA
- Покриття політиками умовного доступу - ризик входу не охоплений
- Призначення привілейованих ролей - постійні призначення замість PIM
- Гостьовий та зовнішній доступ ідентифікацій
- Вразливість застарілих протоколів автентифікації
- Конфігурація самостійного скидання паролю (SSPR)
- Налаштування захисту паролів
Exchange Online
Перевірки Exchange виявляють ризики безпеки електронної пошти:
- Правила пересилки пошти, що виводять дані назовні
- Правила доступу клієнтів, що дозволяють застарілі протоколи (IMAP, POP3, Basic Auth)
- Прогалини в політиках антифішингу та антиспуфінгу
- Конфігурація DKIM, DMARC та SPF
- Налаштування автоматичного зовнішнього пересилання
- Покриття політиками Safe Attachments та Safe Links
SharePoint Online та OneDrive
Перевірки SharePoint аналізують ризики спільного доступу до даних:
- Налаштування зовнішнього спільного доступу (посилання для всіх, гостьовий доступ)
- Тип посилання спільного доступу за замовчуванням
- Перевизначення спільного доступу на рівні сайту
- Доступ через застарілу автентифікацію
Microsoft Teams
Перевірки Teams охоплюють співпрацю та зовнішній доступ:
- Налаштування зовнішньої федерації (хто може ініціювати контакт)
- Політики гостьового доступу
- Налаштування приєднання до нарад (анонімне приєднання, зовнішні учасники)
- Зберігання та утримання записів нарад
Microsoft Defender
Перевірки Defender оглядають покриття захисту:
- Стан політик Defender for Office 365
- Покриття Safe Attachments та Safe Links
- Налаштування Zero-hour Auto Purge (ZAP)
- Увімкнення Attack simulation training
Microsoft Intune
Перевірки Intune оцінюють покриття керування пристроями:
- Реєстрація політик відповідності пристроїв
- Умовний доступ, що вимагає відповідності
- Вимоги шифрування на керованих пристроях
- Покриття політиками Mobile App Management (MAM)
Рівні критичності
Кожній знахідці присвоюється один із чотирьох рівнів критичності:
| Критичність | Опис |
|---|---|
| Критичний | Неправильна конфігурація з високим впливом, часто експлуатується, негайний ризик |
| Високий | Значна вразливість, потребує оперативного усунення |
| Середній | Помірний ризик, часто пом'якшений іншими наявними контролями |
| Низький | Відхилення від найкращих практик, нижчий прямий ризик |
Читання результатів exposure
Результати exposure сканування в dashboard показують:
- Сервіс - сервісна зона M365 (наприклад, Entra ID, Exchange)
- Знахідка - зрозумілий опис неправильної конфігурації
- Критичність - Critical / High / Medium / Low
- Статус - Pass / Fail / Manual (ручні перевірки потребують перегляду людиною)
- Усунення - покрокові інструкції з виправлення
Знахідки, позначені Manual, не можуть бути оцінені автоматично та потребують ручного перегляду зазначених налаштувань.
Обсяг та обмеження
Exposure сканування використовують доступ лише для читання і не можуть виявити:
- Конфігурацію, що потребує підвищених дозволів, які не були надані під час згоди
- Налаштування сторонніх застосунків у M365
- Конфігурацію локального Active Directory (лише хмара)
- Історичні зміни або аналіз журналу аудиту (використовуйте compliance сканування для перевірок журналювання аудиту)