Vastavusskaneerimised
Vastavusskaneerimised hindavad teie Microsoft 365 halduskeskkonda kehtestatud turvavõrdlusnäitajate alusel. Iga võrdlusnäitajat haldab turvaasutus ja see määratleb kontrollid, mida organisatsioonid peaksid riski vähendamiseks rakendama.
Toetatud raamistikud
Võrdlusnäitajate versioonid
Aether365 jälgib alati iga võrdlusnäitaja viimast avaldatud versiooni. Vastavusmootorit uuendatakse automaatselt sedamööda, kuidas turvaasutused uusi versioone avaldavad, nii et teie skaneerimised kajastavad kehtivat standardit ilma teiepoolse tegevuseta. Allpool toodud versiooninumbrid näitavad kirjutamise hetkel kehtivat baastaset.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Seda võrdlusnäitajat haldab Center for Internet Security ja see on kõige laialdasemalt kasutatav M365 turvastandard. See hõlmab:
- Konto ja autentimine - MFA nõuded, paroolipoliitikad, pärandautentimine
- Azure Active Directory / Entra ID - Tingimuslik juurdepääs, rollimäärangud, privilegeeritud juurdepääs
- E-posti turve - Andmepüügivastane, rämpsuvastane, DKIM, DMARC, SPF
- Microsoft Teams - Väline juurdepääs, külaliste sätted, koosolekupoliitikad
- Microsoft 365 rakendused - Makrosätted, lisandmoodulite poliitikad
- Auditi logimine - Postkasti auditeerimine, ühtne auditi logi
CIS kontrollid on märgistatud tasemega 1 (L1) või tasemega 2 (L2):
| Tase | Tähendus |
|---|---|
| L1 | Soovitatav kõigile organisatsioonidele. Minimaalne mõju töövoogudele. |
| L2 | Kõrgem turvalisus, võib mõjutada kasutatavust. Soovitatav turvatundlikele keskkondadele. |
Kontrolli ID-d järgivad formaati CIS.M365.{jaotis}.{alajaotis}.{element} - näiteks CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA keskendub spetsiifiliselt Entra ID (endine Azure Active Directory) seadistusele. See hõlmab valdkondi, mida CIS täielikult ei käsitle:
- Autentimismeetodid (SSPR, MFA registreerimispoliitikad)
- Tingimusliku juurdepääsu poliitikate lüngad
- Privileged Identity Management (PIM) sätted
- Tokeni eluiga ja seansikontrollid
- Külaliste ja välised identiteedisätted
CISA SCuBA M365 turvabaastase
Selle avaldab USA küberjulgeoleku ja taristu turbeagentuur ja SCuBA (Secure Cloud Business Applications) määratleb föderaalvalitsuse turvabaastasme M365 jaoks. See on struktureeritud toote järgi:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online ja OneDrive
- Microsoft 365 rakendused
SCuBA on eriti asjakohane reguleeritud tööstusharudes tegutsevatele organisatsioonidele või neile, kes töötavad USA föderaalagentuuridega.
NIS2
NIS2 on EL-i võrgu- ja infosüsteemide direktiiv (2022/2502). Aether365 kaardistab M365 seadistuskontrollid asjakohastele NIS2 tehnilistele nõuetele, aidates Euroopa Liidu organisatsioonidel tõendada vastavust:
- Juurdepääsukontroll ja autentimine (artikkel 21)
- Intsidentide käsitsemine ja turvasündmuste logimine
- Talitluspidevuse kontrollid
- Tarneahela turvasätted
Tulemuste kategooriad
Iga kontroll tagastab ühe kolmest tulemusest:
| Tulemus | Tähendus |
|---|---|
| Läbitud | Kontroll on õigesti seadistatud |
| Ebaõnne. | Kontroll ei ole täidetud - parandamine on soovitatav |
| Vahele j. | Kontroll ei ole teie halduskeskkonna seadistusele või litsentsile rakendatav |
Tõsiduse sildid
Lisaks L1/L2 (CIS) on igale kontrollile Aether365 poolt määratud tõsidus:
| Tõsidus | Kirjeldus |
|---|---|
| Kriitiline | Otsene ärakasutamisrisk või levinud ründevektor |
| Kõrge | Oluline risk, tuleks kiiresti parandada |
| Keskmine | Risk on olemas, kuid maandatud teiste kontrollidega |
| Madal | Parim praktika, väiksem vahetu risk |
Parandusjuhised
Iga ebaõnnestunud kontroll sisaldab:
- Lihtkeelset selgitust, miks kontroll ebaõnnestus
- Sammhaaval juhiseid selle parandamiseks Microsoft 365 halduskeskuses või Azure portaalis
- Linki ametlikule Microsofti dokumentatsioonile
Vastutuse välistus
Aether365 vastavusskaneerimiste tulemusi pakutakse informatiivsel ja turvalisuse parandamise eesmärgil. Need on automaatsed soovitused, mis põhinevad teie Microsoft 365 seadistusel - need ei ole ühegi raamistiku, standardi ega regulatsiooni (sealhulgas CIS, EIDSCA, CISA SCuBA, NIS2 ega GDPR) vastavuse sertifikaat, kinnitus ega õiguslik garantii.
- Aether365 loeb ainult seadistuse metaandmeid. Nende tulemuste koostamiseks ei töötle, salvesta ega analüüsi see teie ärisisu, e-posti, faile ega lõppkasutajate isikuandmeid ning kliendiandmeid ei saadeta kunagi AI- ega masinõppeteenustele.
- Läbitud tulemus tähendab, et kontroll oli skaneerimise hetkel ootuspäraselt seadistatud. See ei tõenda, et teie organisatsioon vastab mõnele seadusele või regulatsioonile.
- Teie ainuvastutusel jääb teie organisatsiooni regulatiivne vastavus, skaneerimistulemuste tõlgendamine ja nende alusel tegutsemine ning kõik teie regulatiivsetest kohustustest tulenevad trahvid, karistused või sanktsioonid.
Ametliku sertifitseerimise või oma vastavusolukorra õigusliku hindamise saamiseks pöörduge kvalifitseeritud audiitori või õigusnõustaja poole.