使用 Maester 监控 Microsoft 365 安全设置 - Office 365 报告

生活在网络攻击每秒发生的时代，管理员应该为 Microsoft 365 租户配置关键的安全设置。但事情是这样的：仅在 Microsoft 365 中配置安全设置是不够的；还需要进行安全设置。这是关于如何有效地监控安全配置。

可能会发生错误，有时用户/管理员会无意中更改安全设置，这可能会导致 Microsoft 365 安全性出现大漏洞。那么，如何掌握这些关键的安全设置呢？

不用担心！ Merill Fernando 和他的专业团队响应了这一号召，推出了一个改变游戏规则的解决方案 - MaesterMicrosoft 安全测试自动化框架。它是一款经过广泛研究而诞生的免费工具，旨在改进我们监控关键安全设置的方式。让我们详细了解一下吧！

什么是 Maester？

Maester 是一个基于 PowerShell 的开源测试自动化框架，旨在帮助管理员有效监控租户的安全配置。它通过运行一组测试来实现这一目标，以确保配置符合基线安全策略。

Maester 包括来自 Entra ID 安全配置分析器 (EIDSCA) 的 40 多项开箱即用测试和 20 多项条件访问测试。此外，每个测试结果都提供了指导和修复步骤来解决所发现的任何问题。

注意：目前，Maester 工具主要关注 Entra ID 设置，例如监控条件访问策略、身份验证方法、Entra 建议等。但是，未来的更新旨在扩展其监控所有 Microsoft 365 产品安全配置的功能。

如何安装Maester工具？

Maester 工具依赖于 Pester 和 Microsoft Graph PowerShell 来工作。通过运行以下 cmdlet，两个依赖项都会自动部署。

Install-Module Pester -SkipPublisherCheck -Force -Scope CurrentUser 
Install-Module Maester -Scope CurrentUser 
md maester-tests 
cd maester-tests 
Install-MaesterTests .\tests

完成后，运行以下 cmdlet 以连接到您的 Microsoft 365 租户。

Connect-Maester

如何运行预构建的 Maester 安全测试？

安装后，您可以开始使用 Maester 工具运行测试并监控 Microsoft 365 租户的安全配置。

要运行预构建的安全测试，请执行下面的 cmdlet。

Invoke-Maester

执行测试后，Maester 将生成一份全面的 HTML 报告，提供每个测试的详细见解。 Maester测试报告包括两个主要部分：

测试摘要：本部分提供测试结果的概述，包括成功、失败和未测试的案例。它以视觉上引人入胜的方式呈现，让您可以快速了解整体测试结果。

测试详细信息：这就是真正的价值所在。在本节中，您将找到所有测试的详细信息及其状态（通过/失败）。此外，每个测试都包含一个“信息”列。单击它会显示有关测试的更多详细信息，以便进行更深入的分析和故障排除。

你可能会问，我们每次想要得到测试结果都需要执行上面的cmdlet吗？但这是不需要的！让我们看看如何！

使用 Maester 自动化 Microsoft 365 安全设置监控

Maester 可以无缝与 DevOps 服务集成以自动监控安全配置。通过在 Azure DevOps 管道、GitHub 或 Azure Automation 中设置 Maester，您可以确保测试自动运行定期。这种 Maester 自动化可确保您的租户配置始终符合您的策略。

您可以灵活地安排测试每天或每月运行，并在相应的 DevOps 服务界面中查看全面的测试结果。此外，您可以将 Maester 配置为在每个监视周期结束时使用 GitHub/Azure DevOps 日常监视工作流程中的“Send-MtMail”cmdlet 发送电子邮件摘要。

您可能想知道预构建的测试用例是否涵盖您需要的所有场景。他们可能不会，但别担心！借助 Maester，您可以根据您的特定要求创建定制测试并无缝执行它们。让我们来挖掘一下吧！

创建自定义测试并使用 Maester Tool 运行

Maester 构建在 Pester 模块之上，Pester 模块是一个基于 PowerShell 的测试框架（安全即代码 - SaC），用于编写和运行测试。 Pester 采用类似英语、易于理解的格式来编写测试。

因此，您需要使用 Pester 代码并使用 Maester 进行测试。为此，请按照以下步骤操作。

• 在 Maester 文件夹中创建自定义测试文件。
• 将安全测试添加到文件中。
• 使用 Maester 运行自定义测试。

1.在 Maester 文件夹中创建自定义测试文件

安装 Maester 模块后，会在与该模块相同的位置自动创建一个名为“Custom”的文件夹。您需要在此处创建自定义测试文件。要在那里创建自定义测试文件，请按照以下步骤操作。

1. 像平常一样打开 Windows PowerShell ISE。
2. 创建一个名为“Entra.Test.ps1”的空文件。
3. 将文件保存在 Maester 模块的“Custom”文件夹中。

注意：确保您使用带有“Tests.ps1”后缀的确切文件名格式，以便在调用 Maester 模块时可以自动发现并运行该文件。

2.将安全测试添加到文件

现在，您需要在创建的文件中添加安全测试。这里我举了一个例子来检查租户中是否存在特定的条件访问策略。

Describe "ContosoEntraConfig" -Tag "Entra", "Contoso" { 
    It "Check 'Block Access for External Users' policy" { 
         $PolicyID = "Specify the policyID" 
         $Policy = Get-MgIdentityConditionalAccessPolicy -ConditionalAccessPolicyId $PolicyID 
         $Policy | Should Not BeNullOrEmpty 
    } 
}

3.使用 Maester 运行自定义安全测试

完成后，您需要运行以下 cmdlet 来执行自定义创建的测试。

Invoke-Maester .\tests\Custom\

测试成功后，Maester 将为您提供测试的输出。此外，您可以根据您的要求添加更多测试用例或新的测试文件，并使用上述 cmdlet 运行。

重要：使用 Maester 执行条件访问假设测试

最近，微软在Microsoft Entra ID中推出了一个预览工具——“Conditional Access What If”。这将帮助您轻松了解 CA 策略的执行情况。

通常，在使用各种位置条件和基于设备的条件配置 CA 策略后，将执行手动登录以验证是否正确执行。然而，这个手动过程既耗时又费力。

但是，使用此工具，您可以自动模拟用户登录并检查 CA 策略是否在登录上强制执行。需要一个，对吗？

因此，Maester 允许您定义可以使用 What If API 针对 CA 策略运行的测试。此功能使您可以在应用条件访问策略之前识别它们中的潜在漏洞。

Maester 提供 20 多种预配置的 What If 条件访问策略测试，包括：

• 验证至少一项需要管理员进行 MFA 的条件访问策略。
• 验证至少一项使用“所有应用程序”配置的条件访问策略。
• 确认至少一项配置为阻止旧身份验证的条件访问策略。
• 验证至少一项要求所有用户进行 MFA 的条件访问策略。

此外，您还可以使用“Test-MtConditionalAccessWhatIf” cmdlet 灵活地创建自己的 What-If 条件访问测试。

就这样！我们已经涵盖了 Maester 监控 Microsoft 365 安全设置的所有基本功能！感谢 Merill 和他的团队为我们提供了 Maester 安全监控工具！顺便说一句，这个模块不断更新新的测试，您可以使用“Update-MaesterTests”来获得它。另请注意，该模块的当前版本在跳过的测试中显示了一些重复，并且即使租户中存在确切的配置，测试也显示失败。如果您有任何疑问，请随时在下面的评论部分与我们联系。我们随时为您提供帮助！