Σαρώσεις Compliance
Maintained by: Aether365 Team Audience: Security administrators and compliance officers Scope: Compliance scan execution, frameworks covered, and result structure
Οι σαρώσεις compliance αξιολογούν το Microsoft 365 tenant σας βάσει καθιερωμένων προτύπων ασφαλείας. Κάθε πρότυπο συντηρείται από μια αρχή ασφαλείας και ορίζει ελέγχους που οι οργανισμοί πρέπει να υλοποιούν για τη μείωση κινδύνου.
Υποστηριζόμενα Πλαίσια
Εκδόσεις των benchmark
Το Aether365 παρακολουθεί πάντα την πιο πρόσφατη δημοσιευμένη έκδοση κάθε benchmark. Η μηχανή compliance ενημερώνεται αυτόματα καθώς οι αρχές ασφαλείας κυκλοφορούν νέες αναθεωρήσεις, ώστε οι σαρώσεις σας να αντικατοπτρίζουν το ισχύον πρότυπο χωρίς καμία ενέργεια από εσάς. Οι αριθμοί έκδοσης παρακάτω δηλώνουν τη βάση που ίσχυε κατά τη συγγραφή.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Συντηρείται από το Center for Internet Security, αυτό το benchmark είναι το πιο ευρέως χρησιμοποιούμενο πρότυπο ασφαλείας M365. Καλύπτει:
- Λογαριασμός και Πιστοποίηση - Απαιτήσεις MFA, πολιτικές κωδικών, legacy authentication
- Azure Active Directory / Entra ID - Conditional access, αναθέσεις ρόλων, προνομιούχα πρόσβαση
- Ασφάλεια Email - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Εξωτερική πρόσβαση, ρυθμίσεις επισκεπτών, πολιτικές συσκέψεων
- Εφαρμογές Microsoft 365 - Ρυθμίσεις macro, πολιτικές add-in
- Καταγραφή Ελέγχων - Mailbox auditing, unified audit log
Οι έλεγχοι CIS επισημαίνονται ως Level 1 (L1) ή Level 2 (L2):
| Επίπεδο | Σημασία |
|---|---|
| L1 | Συνιστάται για όλους τους οργανισμούς. Ελάχιστη επίπτωση στις λειτουργίες. |
| L2 | Υψηλότερη ασφάλεια, μπορεί να επηρεάσει τη χρηστικότητα. Συνιστάται για ευαίσθητα περιβάλλοντα. |
Τα Check IDs ακολουθούν τη μορφή CIS.M365.{section}.{subsection}.{item} - για παράδειγμα, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
Το EIDSCA εστιάζει αποκλειστικά στις ρυθμίσεις Entra ID (πρώην Azure Active Directory). Καλύπτει τομείς που δεν αντιμετωπίζονται πλήρως από το CIS, μεταξύ άλλων:
- Μεθόδους πιστοποίησης (πολιτικές εγγραφής SSPR και MFA)
- Κενά πολιτικών conditional access
- Ρυθμίσεις Privileged Identity Management (PIM)
- Χρόνο ζωής token και ρυθμίσεις συνεδρίας
- Ρυθμίσεις χρηστών-επισκεπτών και εξωτερικών ταυτοτήτων
CISA SCuBA M365 Security Baseline
Δημοσιεύεται από τη U.S. Cybersecurity and Infrastructure Security Agency, το SCuBA (Secure Cloud Business Applications) ορίζει τη βάση ασφαλείας της ομοσπονδιακής κυβέρνησης για το M365. Δομείται ανά προϊόν:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online και OneDrive
- Microsoft 365 Apps
Το SCuBA είναι ιδιαίτερα σχετικό για οργανισμούς σε ρυθμιζόμενους κλάδους ή αυτούς που συνεργάζονται με ομοσπονδιακές υπηρεσίες ΗΠΑ.
NIS2
Το NIS2 είναι η Οδηγία ΕΕ για τα Δίκτυα και τα Πληροφοριακά Συστήματα (2022/2502). Το Aether365 αντιστοιχίζει ελέγχους ρυθμίσεων M365 σε σχετικές τεχνικές απαιτήσεις NIS2, βοηθώντας οργανισμούς στην Ευρωπαϊκή Ένωση να αποδείξουν τη συμμόρφωσή τους με:
- Έλεγχο πρόσβασης και πιστοποίηση (Άρθρο 21)
- Διαχείριση συμβάντων και καταγραφή συμβάντων ασφαλείας
- Ελέγχους επιχειρησιακής συνέχειας
- Ρυθμίσεις ασφάλειας αλυσίδας εφοδιασμού
Κατηγορίες Αποτελεσμάτων
Κάθε έλεγχος επιστρέφει ένα από τρία αποτελέσματα:
| Αποτέλεσμα | Σημασία |
|---|---|
| Passed | Ο έλεγχος είναι σωστά ρυθμισμένος |
| Failed | Ο έλεγχος δεν πληρείται - συνιστάται αποκατάσταση |
| Skipped | Ο έλεγχος δεν ισχύει για τις ρυθμίσεις ή την άδεια χρήσης του tenant σας |
Ετικέτες Σοβαρότητας
Εκτός από τα L1/L2 (CIS), κάθε έλεγχος έχει σοβαρότητα που ανατίθεται από το Aether365:
| Σοβαρότητα | Περιγραφή |
|---|---|
| Critical | Άμεσος κίνδυνος εκμετάλλευσης ή συνηθισμένο attack vector |
| High | Σημαντικός κίνδυνος, πρέπει να αποκατασταθεί άμεσα |
| Medium | Υπάρχει κίνδυνος αλλά μετριάζεται από άλλους ελέγχους |
| Low | Βέλτιστη πρακτική, χαμηλότερος άμεσος κίνδυνος |
Οδηγίες Αποκατάστασης
Κάθε αποτυχημένος έλεγχος περιλαμβάνει:
- Μια εξήγηση σε απλή γλώσσα γιατί απέτυχε ο έλεγχος
- Βήμα προς βήμα οδηγίες για τη διόρθωσή του στο Microsoft 365 admin center ή το Azure portal
- Σύνδεσμο στην επίσημη τεκμηρίωση της Microsoft
Αποποίηση ευθύνης
Τα αποτελέσματα των σαρώσεων compliance του Aether365 παρέχονται για ενημερωτικούς σκοπούς και για τη βελτίωση της ασφάλειας. Πρόκειται για αυτοματοποιημένες συστάσεις βάσει των ρυθμίσεων του Microsoft 365 σας - δεν αποτελούν πιστοποίηση, βεβαίωση ή νομική εγγύηση συμμόρφωσης με οποιοδήποτε πλαίσιο, πρότυπο ή κανονισμό (συμπεριλαμβανομένων των CIS, EIDSCA, CISA SCuBA, NIS2 ή GDPR).
- Το Aether365 διαβάζει μόνο μεταδεδομένα ρυθμίσεων. Δεν επεξεργάζεται, αποθηκεύει ή αναλύει το επιχειρηματικό σας περιεχόμενο, email, αρχεία ή προσωπικά δεδομένα τελικών χρηστών για την παραγωγή αυτών των αποτελεσμάτων, και κανένα δεδομένο πελάτη δεν αποστέλλεται ποτέ σε υπηρεσίες AI ή μηχανικής μάθησης.
- Ένα επιτυχημένο αποτέλεσμα σημαίνει ότι ένας έλεγχος ήταν ρυθμισμένος όπως αναμενόταν κατά τη στιγμή της σάρωσης. Δεν πιστοποιεί ότι ο οργανισμός σας συμμορφώνεται με οποιονδήποτε νόμο ή κανονισμό.
- Παραμένετε αποκλειστικά υπεύθυνοι για την κανονιστική συμμόρφωση του οργανισμού σας, για την ερμηνεία των αποτελεσμάτων σάρωσης και τις ενέργειες βάσει αυτών, καθώς και για τυχόν πρόστιμα, κυρώσεις ή ποινές που προκύπτουν από τις κανονιστικές σας υποχρεώσεις.
Για επίσημη πιστοποίηση ή νομική αξιολόγηση της κατάστασης συμμόρφωσής σας, συμβουλευτείτε εξειδικευμένο ελεγκτή ή νομικό σύμβουλο.