Jak Aether365 funguje
Aether365 je platforma pro průběžné hodnocení bezpečnosti Microsoft 365. Připojuje se k vašemu tenantu pomocí oprávnění Microsoft Graph pouze pro čtení, spouští bezpečnostní kontroly podle zavedených frameworků a prezentuje nálezy s pokyny k nápravě.
Přehled architektury
Váš M365 Tenant
|
| (volání Microsoft Graph API pouze pro čtení)
v
Aether365 Scanner
|
| (strukturované nálezy)
v
Aether365 Databáze
|
| (API)
v
Váš Dashboard / REST APIVe vašem tenantu neběží žádní agenti, konektory ani skripty PowerShell. Aether365 funguje výhradně z vnějšku vašeho prostředí pomocí Microsoft Graph API.
Jedná se o záměrně architekturu pouze pro čtení: scanner má pouze aplikační oprávnění ke čtení a nemá žádnou technickou možnost ve vašem prostředí Microsoft 365 cokoli vytvářet, měnit nebo mazat.
Průběh skenu
- Spuštění - Sken se spustí buď podle automatického plánu, nebo ručně z dashboard či API.
- Autentizace - Aether365 používá souhlas service principal, který jste udělili při připojení tenantu. Autentizuje se jako aplikace - nikoli jako uživatel.
- Sběr dat - Scanner čte konfigurační data z endpointů Microsoft Graph: nastavení uživatelů, zásady, konfigurace tenantu, nastavení specifická pro služby (Exchange, Teams, SharePoint, Entra ID).
- Vyhodnocení - Každá načtená hodnota je vyhodnocena podle knihovny bezpečnostních kontrol. Kontroly jsou mapovány na jeden nebo více compliance frameworků.
- Uložení výsledků - Výsledky úspěšný, neúspěšný a přeskočený jsou uloženy pro každou kontrolu. U neúspěšných kontrol je zaznamenána skutečná zjištěná hodnota vedle očekávané hodnoty.
- Doručení - Výsledky se zobrazí na vašem dashboard. Pokud jsou nakonfigurovány e-mailové nebo Teams notifikace, obdržíte upozornění po dokončení skenu.
Jaká data Aether365 čte
Aether365 čte pouze konfigurační data - nikoli obsah e-mailů, souborů, chatových zpráv ani data vytvořená uživateli.
Konfigurační data zahrnují:
- Nastavení tenantu a organizace
- Zásady Entra ID (Azure AD) - podmíněný přístup, metody autentizace, přiřazení rolí
- Exchange Online - přenosová pravidla, zásady anti-phishingu, nastavení poštovních schránek, stav DKIM/DMARC
- Microsoft Teams - zásady schůzek, externí federace, nastavení přístupu hostů
- SharePoint Online - zásady sdílení, konfigurace externího přístupu
- Nastavení zabezpečení Microsoft 365 - zásady Defenderu, stav protokolu auditu, zásady upozornění
Pouze pro čtení
Aether365 nikdy nevytváří, nemodifikuje ani neodstraňuje žádná data ve vašem prostředí Microsoft 365. Všechna oprávnění jsou aplikační a pouze pro čtení.
Žádné zpracování vašich dat pomocí AI
Aether365 neodesílá konfiguraci vašeho tenantu, výsledky skenů ani žádná zákaznická data do služeb AI nebo velkých jazykových modelů. Žádná zákaznická data nejsou používána k trénování AI modelů ani k automatizovanému profilování. AI se využívá pouze k tvorbě veřejné dokumentace k nápravě na tomto webu - nikdy ke zpracování dat načtených z vašeho tenantu.
Typy skenů
| Typ | Co kontroluje | Frameworky |
|---|---|---|
| Compliance | Konfiguraci podle bezpečnostních standardů | CIS, EIDSCA, CISA SCuBA, NIS2 |
| Exposure | Rizikové konfigurace napříč službami M365 | Knihovna exposure Aether365 |
Podrobnosti viz Compliance skeny a Exposure skeny.
Rezidence dat
Všechna data - včetně výsledků skenů a konfiguračních snímků - jsou uložena v našem datovém centru v EU (Ireland, Švédsko). Žádná data nejsou replikována do jiných regionů. Data skenů jsou uchovávána po definovanou dobu, po které jsou trvale smazána.
Podrobnosti viz Rezidence dat a soukromí.
Izolace tenantů
Data každého zákazníka jsou uložena s ID tenantu aplikovaným na každý záznam v databázi. Je architektonicky nemožné, aby data jednoho zákazníka byla přístupná přes relaci jiného zákazníka. Skenovací úlohy běží v izolovaných, dočasných prostředích bez sdíleného stavu mezi tenanty.