Compliance рамки
Aether365 оценява вашия Microsoft 365 tenant спрямо четири утвърдени рамки за сигурност. Всяка рамка се поддържа от различен орган и има различен фокус, обхват и целева аудитория.
CIS Microsoft 365 Foundations Benchmark
Поддържан от: Center for Internet Security (CIS) Версия: v3.0 Аудитория: Всички организации, използващи Microsoft 365 Обхват: Сигурност на акаунтите, Entra ID, Exchange, Teams, SharePoint, одитен дневник
CIS е най-широко възприетият стандарт за сигурност на M365. Той дефинира ясен, приложим набор от контроли, всеки с подробни насоки за внедряване. Контролите се категоризират като ниво 1 или ниво 2:
| Ниво | Описание | Кога да се прилага |
|---|---|---|
| L1 | Основни контроли с минимално въздействие върху работата | Всички организации |
| L2 | По-строги контроли, които може да засегнат потребителското изживяване | Среди с повишени изисквания за сигурност |
Формат на идентификатора: CIS.M365.{раздел}.{подраздел}.{елемент} - например CIS.M365.1.1.1
Проверките на CIS обхващат раздели 1 до 9 от стандарта, включително:
- Раздел 1: Управление на идентичността и достъпа
- Раздел 2: Microsoft Entra ID
- Раздел 3: Приложения на Microsoft 365
- Раздел 4: Microsoft Teams
- Раздел 5: Сигурност на имейла (Exchange Online)
- Раздел 6: SharePoint Online
- Раздел 7: OneDrive
- Раздел 8: Microsoft Defender
- Раздел 9: Одитен дневник
EIDSCA (Entra ID Security Config Analyzer)
Поддържан от: Microsoft и общността с отворен код Аудитория: Организации с интензивно използване на Entra ID Обхват: Задълбочена конфигурация на Entra ID
EIDSCA се фокусира конкретно върху Entra ID (бивш Azure Active Directory) и обхваща области, които CIS не разглежда на същото ниво на детайл. Ключови области:
- Регистрация на методи за удостоверяване и политики за SSPR
- Пропуски в политиките за условен достъп и покритие на базовите политики
- Конфигурация на Privileged Identity Management (PIM)
- Срок на валидност на токени и контрол на сесиите
- Настройки за гости и B2B сътрудничество
- Настройки за доверие на външни доставчици на идентичност
EIDSCA е особено полезен, ако вашата организация разчита значително на функции на Entra ID като Privileged Identity Management, външно сътрудничество или потребителски потоци за удостоверяване.
Формат на идентификатора: EIDSCA.{категория}{номер} - например EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Поддържан от: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Версия: Текуща публикувана базова линия Аудитория: Федерални агенции на САЩ и организации, работещи с тях; регулирани индустрии Обхват: Пълен набор от M365 продукти
SCuBA (Secure Cloud Business Applications) е базовата линия за сигурност на федералното правителство на САЩ за облачни платформи за продуктивност. Структурирана е по M365 продукт, а не по категория контроли:
| Продукт | Проверки обхващат |
|---|---|
| Microsoft Entra ID | Управление на идентичността и достъпа |
| Microsoft Defender for Office 365 | Политики за защита от заплахи |
| Exchange Online | Транспорт на имейли, анти-фишинг, криптиране |
| Microsoft Teams | Външен достъп, политики за срещи |
| SharePoint Online и OneDrive | Споделяне, контрол на достъпа |
| Microsoft 365 Apps | Политики за макроси, управление на добавки |
| Power Platform | Политики за конектори (само Enterprise) |
SCuBA е от значение и извън федералната среда на САЩ. Ясните формулировки на политиките и автоматизираният формат на тестовете го правят полезна базова линия за всяка организация, търсеща стриктни, независимо поддържани насоки.
Формат на идентификатора: MS.{ПРОДУКТ}.{номер}.{подномер} - например MS.AAD.1.1
NIS2
Поддържан от: Европейски съюз Директива: EU 2022/2502 (NIS2) Аудитория: Организации, работещи в ЕС, особено оператори на съществени и важни субекти Обхват: Технически и организационни мерки по Член 21
NIS2 не е технически стандарт - това е регулаторна директива. Aether365 съпоставя контролите за конфигурация на M365 с техническите изисквания, които NIS2 налага по Член 21, изискващ от организациите да предприемат подходящи мерки за управление на риска от киберсигурност.
Проверките за NIS2 в Aether365 се фокусират върху:
| Област по NIS2 | Контроли в M365 |
|---|---|
| Контрол на достъпа и удостоверяване | MFA, привилегирован достъп, условен достъп |
| Обработка на инциденти | Одитен дневник, политики за сигнали, събития за сигурност |
| Непрекъснатост на бизнеса | Настройки за архивиране и възстановяване, местоположение на данни |
| Сигурност на веригата на доставки | Политики за съгласие на приложения, настройки на външни конектори |
| Основна кибер хигиена | Наследено удостоверяване, настройки свързани с обновяването |
Обхват на NIS2 compliance
Aether365 обхваща техническите контроли на M365, релевантни за NIS2. Пълният NIS2 compliance изисква по-широка програма от технически и организационни мерки отвъд конфигурацията на M365. Резултатите от Aether365 не представляват сертификация за NIS2 compliance.
Сравнение на рамките
| Измерение | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Орган | CIS | Отворен код / Microsoft | CISA (САЩ) | Регламент на ЕС |
| Фокус | Широк M365 | Задълбочен Entra ID | Продукт по продукт | Регулаторен, базиран на риска |
| Ниво на детайл | Високо | Много високо | Високо | Умерено |
| Подходящ за организации в ЕС | Да | Да | Да | Задължителен |
| Подходящ за федерални органи на САЩ | Да | Да | Задължителен | Не е приложимо |
| Подходящ за всички организации | Да | Да | Да | Ако е регулиран от ЕС |
| Брой проверки в Aether365 | ~60 | ~40 | ~50 | ~30 |
Всички рамки се изпълняват като част от Compliance сканиране. Не можете да избирате отделни рамки за сканиране - всички приложими проверки се изпълняват заедно и резултатите се маркират по рамка за филтриране.