Algemeen
Dit alarm gaat af als een SharePoint Site ingesteld wordt als Public. Dit kan een nieuwe Site zijn, of een bestaande site die eerder Private was.
Rationale
Wanneer een aanvaller een account in uw organisatie heeft bemachtigd, bijvoorbeeld omdat de logingegevens daarvan gelekt zijn, zal hij op zoek gaan naar waardevolle informatie. Microsoft SharePoint is tegenwoordig zeker een bron om te raadplegen, en Public SharePoint sites leveren dan een schat aan informatie op. Informatie die de aanvaller mogelijk in staat stelt om gevoelige data te stelen, of om zichzelf hogere rechten te geven (bijvoorbeeld bestanden met gedeelde inlognamen en wachtwoorden erin) en een ransomware aanval uit te voeren. Daarom is het verstandig om het aantal public sites altijd tot een minimum te beperken.
Een SharePoint site kan ingesteld worden met public of private toegang. Een public site is toegankelijk voor alle user accounts binnen de tenant, oftewel alle medewerkers. Er zijn natuurlijk sites denkbaar waarvoor dit wenselijk is, bijvoorbeeld een site met nieuwsbrieven voor de hele organisatie, of met informatie die dient als inwerkprogramma. Maar vaak is informatie alleen bestemd voor specifieke rollen in de organisatie, en mogelijk externe gasten. In die situatie is het beter om de site Private te maken, want dat maakt het mogelijk om precies in te stellen wie welk recht heeft tot de site.
Typisch gezien worden SharePoint sites te makkelijk "public" gemaakt. Dat gebeurt bijvoorbeeld als een nieuw Team wordt aangemaakt in Microsoft Teams dat openbaar is. Teams gebruikt SharePoint immers voor bestandsopslag dus de toegangsinstelling werkt door in de gekoppelde SharePoint Site. Dat lijkt onschuldig en wel handig op dat moment, maar gaandeweg kan het team uitgroeien tot een schat aan informatie. Beter is doorgaans om ook een Team "private" te maken, en daar specifieke mensen op uit te nodigen of hen te instrueren om zelf toegang te vragen (wat heel eenvoudig is gemaakt).
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Neem contact op met de eigenaar van de site om te bepalen of de site daadwerkelijk Public moet blijven.
-
Zo nee: pas als Sharepoint administrator de site aan naar Private, en nodig daarin alleen de medewerkers of groepen uit die toegang nodig hebben.
- Zo ja: sluit het Attic incident af als in orde
-
Zo nee: pas als Sharepoint administrator de site aan naar Private, en nodig daarin alleen de medewerkers of groepen uit die toegang nodig hebben.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.