Compliance сканирания
Compliance сканиранията оценяват вашия Microsoft 365 tenant спрямо утвърдени стандарти за сигурност. Всеки стандарт се поддържа от орган за сигурност и дефинира контроли, които организациите трябва да внедрят за намаляване на риска.
Поддържани рамки
Версии на benchmark стандартите
Aether365 винаги следва най-новата публикувана версия на всеки benchmark стандарт. Compliance механизмът се обновява автоматично, щом органите за сигурност издадат нови ревизии, така че сканиранията ви отразяват актуалния стандарт без да е необходимо да предприемате нищо. Номерата на версиите по-долу показват базовата линия, която е в сила към момента на писане.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Поддържан от Center for Internet Security, този стандарт е най-широко използваният стандарт за сигурност на M365. Обхваща:
- Акаунт и удостоверяване - Изисквания за MFA, политики за пароли, наследено удостоверяване
- Azure Active Directory / Entra ID - Условен достъп, присвоявания на роли, привилегирован достъп
- Сигурност на имейла - Анти-фишинг, анти-спам, DKIM, DMARC, SPF
- Microsoft Teams - Външен достъп, настройки за гости, политики за срещи
- Приложения на Microsoft 365 - Настройки за макроси, политики за добавки
- Одитен дневник - Одит на пощенски кутии, единен одитен дневник
CIS контролите са означени като ниво 1 (L1) или ниво 2 (L2):
| Ниво | Значение |
|---|---|
| L1 | Препоръчителни за всички организации. Минимално въздействие върху работата. |
| L2 | По-висока сигурност, може да засегне удобството. Препоръчителни за среди с повишени изисквания. |
Идентификаторите следват формата CIS.M365.{раздел}.{подраздел}.{елемент} - например CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA се фокусира конкретно върху конфигурацията на Entra ID (бивш Azure Active Directory). Обхваща области, които не са напълно адресирани от CIS, включително:
- Методи за удостоверяване (политики за SSPR и регистрация на MFA)
- Пропуски в политиките за условен достъп
- Настройки на Privileged Identity Management (PIM)
- Срок на валидност на токени и контрол на сесии
- Настройки за гости и външна идентичност
CISA SCuBA M365 Security Baseline
Публикуван от U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) дефинира базовата линия за сигурност на федералното правителство за M365. Структуриран е по продукт:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online и OneDrive
- Microsoft 365 Apps
SCuBA е особено релевантен за организации в регулирани индустрии или работещи с федерални агенции на САЩ.
NIS2
NIS2 е Директивата на ЕС за мрежовата и информационната сигурност (2022/2502). Aether365 съпоставя контролите за конфигурация на M365 с релевантните технически изисквания на NIS2, помагайки на организациите в Европейския съюз да демонстрират compliance с:
- Контрол на достъпа и удостоверяване (Член 21)
- Обработка на инциденти и логване на събития за сигурност
- Контроли за непрекъснатост на бизнеса
- Настройки за сигурност на веригата на доставки
Категории резултати
Всяка проверка връща един от три резултата:
| Резултат | Значение |
|---|---|
| Passed | Контролът е конфигуриран правилно |
| Failed | Контролът не е покрит - препоръчва се коригиране |
| Skipped | Проверката не е приложима за конфигурацията или лиценза на вашия tenant |
Етикети за критичност
В допълнение към L1/L2 (CIS), всяка проверка има критичност, определена от Aether365:
| Критичност | Описание |
|---|---|
| Critical | Директен риск от експлоатация или типичен вектор на атака |
| High | Значителен риск, трябва да се коригира своевременно |
| Medium | Рискът съществува, но е смекчен от други контроли |
| Low | Добра практика, по-нисък непосредствен риск |
Насоки за коригиране
Всяка неуспешна проверка включва:
- Обяснение на прост език защо проверката е неуспешна
- Инструкции стъпка по стъпка за коригиране в административния център на Microsoft 365 или Azure портала
- Линк към официалната документация на Microsoft
Отказ от отговорност
Резултатите от compliance сканиранията на Aether365 се предоставят с информационна цел и за подобряване на сигурността. Те са автоматизирани препоръки, базирани на конфигурацията на вашия Microsoft 365 - те не представляват сертификация, атестация или правна гаранция за съответствие с която и да е рамка, стандарт или регулация (включително CIS, EIDSCA, CISA SCuBA, NIS2 или GDPR).
- Aether365 чете единствено конфигурационни метаданни. Не обработва, не съхранява и не анализира вашето бизнес съдържание, имейли, файлове или лични данни на крайни потребители, за да изготви тези резултати, и никакви клиентски данни никога не се изпращат към AI или услуги за машинно обучение.
- Преминал резултат означава, че даден контрол е бил конфигуриран според очакванията към момента на сканирането. Той не удостоверява, че организацията ви съответства на който и да е закон или регулация.
- Вие носите цялата отговорност за регулаторното съответствие на организацията си, за тълкуването и предприемането на действия въз основа на резултатите от сканиранията, както и за всякакви глоби, санкции или наказания, произтичащи от регулаторните ви задължения.
За официална сертификация или правна оценка на вашата позиция по съответствието се консултирайте с квалифициран одитор или правен съветник.