Compliance-skannaukset
Yllapitaja: Aether365-tiimi Kohderyhma: Tietoturvajarjestelmanvalvojat ja compliance-vastaavat Laajuus: Compliance-skannauksen suoritus, katetyt viitekehykset ja tulosrakenne
Compliance-skannaukset arvioivat Microsoft 365 -vuokralaisesi vakiintuneita tietoturva-benchmarkeja vasten. Jokaista benchmarkia yllapitaa tietoturvaviranomainen, ja se maarittelee kontrollit, joita organisaatioiden tulisi toteuttaa riskin vahentamiseksi.
Tuetut viitekehykset
Benchmark-versiot
Aether365 seuraa aina kunkin benchmarkin uusinta julkaistua versiota. Compliance-moottori päivittyy automaattisesti, kun tietoturvaviranomaiset julkaisevat uusia versioita, joten skannauksesi vastaavat voimassa olevaa standardia ilman, että sinun tarvitsee tehdä mitään. Alla olevat versionumerot kertovat kirjoitushetkellä voimassa olleen perustason.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Center for Internet Securityn yllapitama benchmark on laajimmin kaytetty M365-tietoturvastandardi. Se kattaa:
- Tili ja todennus - MFA-vaatimukset, salasanakaytannot, vanhentunut todennus
- Azure Active Directory / Entra ID - Ehdollinen paasy, roolimaaritykset, etuoikeutettu kayttooikeus
- Sahkopostin tietoturva - Tietojenkalastelun esto, roskapostin esto, DKIM, DMARC, SPF
- Microsoft Teams - Ulkoinen kayttooikeus, vierasasetukset, kokouskaytannot
- Microsoft 365 -sovellukset - Makroasetukset, lisaosakaytannot
- Auditointiloki - Postilaatikon auditointi, yhtenaistetty auditointiloki
CIS-kontrollit merkitaan tasoilla Level 1 (L1) tai Level 2 (L2):
| Taso | Merkitys |
|---|---|
| L1 | Suositellaan kaikille organisaatioille. Vahaisin vaikutus toimintaan. |
| L2 | Korkeampi tietoturva, voi vaikuttaa kaytettavyyteen. Suositellaan tietoturvaherkissa ymparistoissa. |
Tarkistus-ID:t noudattavat muotoa CIS.M365.{osio}.{alaosio}.{kohta} - esimerkiksi CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA keskittyy nimenomaan Entra ID:n (aiemmin Azure Active Directory) kokoonpanoon. Se kattaa alueita, joita CIS ei kasittele taysin, mukaan lukien:
- Todennusmenetelmat (SSPR, MFA-rekisterointikaytannot)
- Ehdollisen paasyn kaytantojen aukkokohdat
- Privileged Identity Management (PIM) -asetukset
- Tokenien voimassaoloaika ja istuntoasetukset
- Vieras- ja ulkoisen identiteetin asetukset
CISA SCuBA M365 Security Baseline
U.S. Cybersecurity and Infrastructure Security Agencyn julkaisema SCuBA (Secure Cloud Business Applications) maarittelee liittohallituksen tietoturvaperustason M365:lle. Se on jasennetty tuotteittain:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online ja OneDrive
- Microsoft 365 -sovellukset
SCuBA on erityisen merkityksellinen saannellyilla toimialoilla toimiville organisaatioille tai niille, jotka tyoskentelevat Yhdysvaltain liittovaltion virastojen kanssa.
NIS2
NIS2 on EU:n verkko- ja tietoturvadirektiivi (2022/2502). Aether365 yhdistaa M365-kokoonpanon kontrollit NIS2:n teknisiin vaatimuksiin ja auttaa Euroopan unionissa toimivia organisaatioita osoittamaan vaatimustenmukaisuutensa:
- Kayttooikeuksien hallinta ja todennus (artikla 21)
- Poikkeamien kasittely ja tietoturvatapahtumien lokit
- Toiminnan jatkuvuuden kontrollit
- Toimitusketjun turvallisuusasetukset
Tuloskategoriat
Jokainen tarkistus palauttaa yhden kolmesta tuloksesta:
| Tulos | Merkitys |
|---|---|
| Lapaissyt | Kontrolli on oikein konfiguroitu |
| Hylatty | Kontrolli ei tayty - korjaus suositellaan |
| Ohitettu | Tarkistus ei sovellu vuokralaisesi kokoonpanoon tai lisenssiin |
Vakavuustasot
CIS:n L1/L2-tasojen lisaksi jokaiselle tarkistukselle on Aether365:n maarittama vakavuus:
| Vakavuus | Kuvaus |
|---|---|
| Kriittinen | Suora hyokkaysriski tai yleinen hyokkaysvektori |
| Korkea | Merkittava riski, tulisi korjata pikaisesti |
| Keskitaso | Riski on olemassa, mutta lievennetty muilla kontrolleilla |
| Matala | Paras kaytanto, alhaisempi valitön riski |
Korjausohjeet
Jokainen hylatty tarkistus sisaltaa:
- Selkokielisen selityksen, miksi tarkistus hylatttiin
- Vaiheittaiset ohjeet korjaamiseen Microsoft 365 -hallintakeskuksessa tai Azure-portaalissa
- Linkin viralliseen Microsoft-dokumentaatioon
Vastuuvapauslauseke
Aether365:n compliance-skannausten tulokset ovat tarkoitettu tiedoksi ja tietoturvan parantamiseen. Ne ovat Microsoft 365 -kokoonpanoosi perustuvia automaattisia suosituksia - ne eivät ole minkään viitekehyksen, standardin tai säädöksen (mukaan lukien CIS, EIDSCA, CISA SCuBA, NIS2 tai GDPR) mukainen sertifikaatti, todistus tai oikeudellinen takuu vaatimustenmukaisuudesta.
- Aether365 lukee ainoastaan kokoonpanon metatietoja. Se ei käsittele, tallenna tai analysoi liiketoimintasisältöäsi, sähköpostejasi, tiedostojasi tai loppukäyttäjien henkilötietoja näiden tulosten tuottamiseksi, eikä asiakastietoja koskaan lähetetä AI- tai koneoppimispalveluihin.
- Läpäissyt tulos tarkoittaa, että kontrolli oli skannaushetkellä määritetty odotetulla tavalla. Se ei todista, että organisaatiosi noudattaa mitään lakia tai säädöstä.
- Vastaat itse organisaatiosi sääntelynmukaisuudesta, skannaustulosten tulkinnasta ja niihin reagoinnista sekä kaikista sääntelyvelvoitteistasi aiheutuvista sakoista, seuraamuksista tai pakotteista.
Virallista sertifiointia tai vaatimustenmukaisuutesi oikeudellista arviointia varten käänny pätevän tilintarkastajan tai lakineuvojan puoleen.