Compliance-scanninger
Compliance-scanninger evaluerer din Microsoft 365 tenant mod etablerede sikkerhedsbenchmarks. Hvert benchmark vedligeholdes af en sikkerhedsmyndighed og definerer kontroller, som organisationer bør implementere for at reducere risiko.
Understøttede frameworks
Benchmark-versioner
Aether365 følger altid den nyeste offentliggjorte version af hvert benchmark. Compliance-motoren opdateres automatisk, efterhånden som sikkerhedsmyndighederne udgiver nye revisioner, så dine scanninger afspejler den gældende standard, uden at du behøver at foretage dig noget. Versionsnumrene nedenfor angiver den baseline, der var gældende på skrivetidspunktet.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Vedligeholdt af Center for Internet Security, dette benchmark er den mest udbredte M365-sikkerhedsstandard. Det dækker:
- Konto og autentificering - MFA-krav, adgangskodepolitikker, legacy-autentificering
- Azure Active Directory / Entra ID - Conditional access, rolletildelinger, privilegeret adgang
- E-mailsikkerhed - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Ekstern adgang, gæsteindstillinger, mødepolitikker
- Microsoft 365 Apps - Makroindstillinger, tilføjelsespolitikker
- Revisionslogning - Postkasserevision, samlet revisionslog
CIS-kontroller mærkes Level 1 (L1) eller Level 2 (L2):
| Niveau | Betydning |
|---|---|
| L1 | Anbefalet til alle organisationer. Minimal påvirkning af driften. |
| L2 | Højere sikkerhed, kan påvirke brugervenligheden. Anbefalet til sikkerhedsfølsomme miljøer. |
Kontrol-ID'er følger formatet CIS.M365.{sektion}.{undersektion}.{punkt} - f.eks. CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA fokuserer specifikt på Entra ID (tidligere Azure Active Directory) konfiguration. Det dækker områder, der ikke er fuldt dækket af CIS, herunder:
- Autentificeringsmetoder (SSPR, MFA-registreringspolitikker)
- Huller i conditional access-politikker
- Indstillinger for Privileged Identity Management (PIM)
- Token-levetid og sessionskontroller
- Gæste- og ekstern identitetsindstillinger
CISA SCuBA M365 Security Baseline
Publiceret af U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) definerer den føderale regerings sikkerhedsbaseline for M365. Det er struktureret efter produkt:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online og OneDrive
- Microsoft 365 Apps
SCuBA er særligt relevant for organisationer i regulerede industrier eller dem, der samarbejder med amerikanske føderale myndigheder.
NIS2
NIS2 er EU's direktiv om net- og informationssystemer (2022/2502). Aether365 mapper M365-konfigurationskontroller til relevante NIS2 tekniske krav, der hjælper organisationer i EU med at demonstrere compliance med:
- Adgangskontrol og autentificering (Artikel 21)
- Hændelseshåndtering og logning af sikkerhedshændelser
- Forretningskontinuitetskontroller
- Forsyningskædesikkerhedsindstillinger
Resultatkategorier
Hver kontrol returnerer et af tre resultater:
| Resultat | Betydning |
|---|---|
| Bestået | Kontrollen er korrekt konfigureret |
| Fejlet | Kontrollen er ikke opfyldt - udbedring anbefales |
| Sprunget over | Kontrollen er ikke relevant for din tenants konfiguration eller licens |
Alvorlighedsetiketter
Ud over L1/L2 (CIS) har hver kontrol en alvorlighed tildelt af Aether365:
| Alvorlighed | Beskrivelse |
|---|---|
| Kritisk | Direkte udnyttelsesrisiko eller almindelig angrebsvektor |
| Høj | Betydelig risiko, bør udbedres hurtigt |
| Medium | Risiko eksisterer, men er afbødet af andre kontroller |
| Lav | Bedste praksis, lavere umiddelbar risiko |
Udbedringsanvisning
Hver fejlet kontrol inkluderer:
- En forklaring i klart sprog om, hvorfor kontrollen fejlede
- Trin-for-trin instruktioner til at rette det i Microsoft 365 admin center eller Azure-portalen
- Et link til den officielle Microsoft-dokumentation
Ansvarsfraskrivelse
Resultaterne af Aether365's compliance-scanninger stilles til rådighed til information og som hjælp til at forbedre sikkerheden. De er automatiske anbefalinger baseret på din Microsoft 365-konfiguration - de udgør ikke en certificering, attestering eller juridisk garanti for compliance med noget framework, nogen standard eller regulering (herunder CIS, EIDSCA, CISA SCuBA, NIS2 eller GDPR).
- Aether365 læser udelukkende konfigurationsmetadata. Platformen behandler, lagrer eller analyserer ikke dit forretningsindhold, e-mail, filer eller slutbrugeres personoplysninger for at frembringe disse resultater, og ingen kundedata sendes nogensinde til AI- eller maskinlæringstjenester.
- Et bestået resultat betyder, at en kontrol var konfigureret som forventet på scanningstidspunktet. Det er ikke en bekræftelse af, at din organisation overholder en bestemt lov eller regulering.
- Du bærer alene ansvaret for din organisations regulatoriske compliance, for at fortolke og handle på scanningsresultaterne samt for eventuelle bøder, sanktioner eller andre konsekvenser, der måtte følge af dine regulatoriske forpligtelser.
For en formel certificering eller en juridisk vurdering af din compliance-position bør du rådføre dig med en kvalificeret revisor eller juridisk rådgiver.