Compliance skeny
Compliance skeny vyhodnocují váš Microsoft 365 tenant podle zavedených bezpečnostních standardů. Každý standard je spravován bezpečnostní autoritou a definuje kontroly, které by organizace měly implementovat ke snížení rizika.
Podporované frameworky
Verze benchmarků
Aether365 vždy sleduje nejnovější publikovanou verzi každého benchmarku. Compliance engine se aktualizuje automaticky, jakmile bezpečnostní autority vydají nové revize, takže vaše skeny odrážejí aktuální standard bez jakéhokoli zásahu z vaší strany. Čísla verzí uvedená níže označují základ platný v době sepsání.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Spravovaný Center for Internet Security, tento standard je nejrozšířenějším bezpečnostním standardem M365. Pokrývá:
- Účet a autentizace - Požadavky na MFA, zásady hesel, starší autentizace
- Azure Active Directory / Entra ID - Podmíněný přístup, přiřazení rolí, privilegovaný přístup
- Zabezpečení e-mailu - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Externí přístup, nastavení hostů, zásady schůzek
- Microsoft 365 Apps - Nastavení maker, zásady doplňků
- Protokolování auditu - Auditování poštovních schránek, sjednocený protokol auditu
Kontroly CIS jsou označeny Level 1 (L1) nebo Level 2 (L2):
| Úroveň | Význam |
|---|---|
| L1 | Doporučeno pro všechny organizace. Minimální dopad na provoz. |
| L2 | Vyšší zabezpečení, může ovlivnit použitelnost. Doporučeno pro citlivá prostředí. |
ID kontrol odpovídá formátu CIS.M365.{sekce}.{podsekce}.{položka} - například CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA se zaměřuje specificky na konfiguraci Entra ID (dříve Azure Active Directory). Pokrývá oblasti, které CIS plně neřeší, včetně:
- Metod autentizace (zásady SSPR, registrace MFA)
- Mezer v zásadách podmíněného přístupu
- Nastavení Privileged Identity Management (PIM)
- Životnosti tokenů a řízení relací
- Nastavení hostů a externích identit
CISA SCuBA M365 Security Baseline
Publikovaný U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) definuje bezpečnostní základ federální vlády pro M365. Je strukturován podle produktu:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online a OneDrive
- Microsoft 365 Apps
SCuBA je obzvláště relevantní pro organizace v regulovaných odvětvích nebo spolupracující s americkými federálními agenturami.
NIS2
NIS2 je směrnice EU o síťové a informační bezpečnosti (2022/2502). Aether365 mapuje kontroly konfigurace M365 na relevantní technické požadavky NIS2, čímž pomáhá organizacím v Evropské unii prokázat compliance s:
- Řízením přístupu a autentizací (článek 21)
- Řešením incidentů a protokolováním bezpečnostních událostí
- Kontrolami kontinuity podnikání
- Nastavením bezpečnosti dodavatelského řetězce
Kategorie výsledků
Každá kontrola vrací jeden ze tří výsledků:
| Výsledek | Význam |
|---|---|
| Úspěšný | Kontrola je správně nakonfigurována |
| Neúspěšný | Kontrola není splněna - doporučena náprava |
| Přeskočený | Kontrola není relevantní pro konfiguraci nebo licenci vašeho tenantu |
Štítky závažnosti
Kromě L1/L2 (CIS) má každá kontrola závažnost přiřazenou Aether365:
| Závažnost | Popis |
|---|---|
| Kritická | Přímé riziko zneužití nebo běžný vektor útoku |
| Vysoká | Významné riziko, mělo by být promptně napraveno |
| Střední | Riziko existuje, ale je zmírněno jinými kontrolami |
| Nízká | Osvědčený postup, nižší okamžité riziko |
Pokyny k nápravě
Každá neúspěšná kontrola obsahuje:
- Srozumitelné vysvětlení, proč kontrola selhala
- Podrobné pokyny k opravě v administrátorském centru Microsoft 365 nebo na portálu Azure
- Odkaz na oficiální dokumentaci Microsoftu
Vyloučení odpovědnosti
Výsledky compliance skenů Aether365 jsou poskytovány pro informační účely a za účelem zlepšení bezpečnosti. Jde o automatizovaná doporučení založená na konfiguraci vašeho Microsoft 365 - nepředstavují certifikaci, atestaci ani právní záruku souladu s jakýmkoli frameworkem, standardem či předpisem (včetně CIS, EIDSCA, CISA SCuBA, NIS2 nebo GDPR).
- Aether365 čte pouze konfigurační metadata. K získání těchto výsledků nezpracovává, neukládá ani neanalyzuje váš firemní obsah, e-maily, soubory ani osobní údaje koncových uživatelů a žádná zákaznická data nejsou nikdy odesílána do služeb AI nebo strojového učení.
- Úspěšný výsledek znamená, že kontrola byla v okamžiku skenu nakonfigurována podle očekávání. Necertifikuje, že vaše organizace je v souladu s jakýmkoli zákonem či předpisem.
- Za soulad vaší organizace s předpisy, za interpretaci výsledků skenů a jednání na jejich základě i za jakékoli pokuty, sankce či postihy vyplývající z vašich regulatorních povinností nesete výhradní odpovědnost vy.
Pro formální certifikaci nebo právní posouzení vašeho stavu souladu se obraťte na kvalifikovaného auditora nebo právního poradce.