Megfelelőségi vizsgálatok
A megfelelőségi vizsgálatok a Microsoft 365 bérlőd bevált biztonsági referenciaértékek alapján értékelik. Minden referenciaértéket biztonsági hatóság tart fenn, és olyan vezérlőket határoznak meg, amelyeket a szervezeteknek be kellene vezetniük a kockázat csökkentése érdekében.
Támogatott keretrendszerek
Referenciaérték-verziók
Az Aether365 mindig az egyes referenciaértékek legutóbb közzétett verzióját követi. A megfelelőségi motor automatikusan frissül, ahogy a biztonsági hatóságok új revíziókat adnak ki, így a vizsgálataid mindig az aktuális szabványt tükrözik, anélkül hogy bármit tenned kellene. Az alábbi verziószámok az írás pillanatában érvényes alapot jelzik.
CIS Microsoft 365 Foundations Benchmark (v5.0)
A Center for Internet Security által fenntartott referencia a legszélesebb körben használt M365 biztonsági szabvány. Lefedi:
- Fiók és hitelesítés - MFA követelmények, jelszószabályzatok, örökölt hitelesítés
- Azure Active Directory / Entra ID - Feltételes hozzáférés, szerepkör-hozzárendelések, privilegizált hozzáférés
- E-mail biztonság - Adathalász-ellenes, spam-ellenes, DKIM, DMARC, SPF
- Microsoft Teams - Külső hozzáférés, vendégbeállítások, értekezlet-szabályzatok
- Microsoft 365 Apps - Makróbeállítások, bővítmény-szabályzatok
- Naplózás - Postafiók naplózás, egységes naplózás
A CIS vezérlők Level 1 (L1) vagy Level 2 (L2) címkével rendelkeznek:
| Szint | Jelentés |
|---|---|
| L1 | Minden szervezetnek ajánlott. Minimális hatás a működésre. |
| L2 | Magasabb biztonság, hathat a használhatóságra. Biztonság-érzékeny környezeteknek ajánlott. |
Az ellenőrzés-azonosítók formátuma: CIS.M365.{szekció}.{alszekció}.{elem} - például CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
Az EIDSCA kimondottan az Entra ID (korábban Azure Active Directory) konfigurációra összpontosít. Olyan területeket fed le, amelyeket a CIS nem kezel teljes mélységben, beleértve:
- Hitelesítési módszerek (SSPR, MFA regisztrációs szabályzatok)
- Feltételes hozzáférési szabályzati hiányosságok
- Privileged Identity Management (PIM) beállítások
- Token élettartam és munkamenet-vezérlők
- Vendég és külső identitás beállítások
CISA SCuBA M365 Security Baseline
A U.S. Cybersecurity and Infrastructure Security Agency által közzétett SCuBA (Secure Cloud Business Applications) a szövetségi kormányzat biztonsági alapvonalát határozza meg M365-höz. Termékenként strukturált:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online és OneDrive
- Microsoft 365 Apps
Az SCuBA különösen releváns a szabályozott iparágakban vagy az USA szövetségi ügynökségeivel együttműködő szervezetek számára.
NIS2
A NIS2 az EU hálózat- és információs rendszerek irányelvének (2022/2502) új változata. Az Aether365 az M365 konfigurációs vezérlőket a releváns NIS2 technikai követelményekre képezi le, segítve az Európai Unióban működő szervezeteket a következők megfelelőségének bizonyításában:
- Hozzáférés-vezérlés és hitelesítés (21. cikk)
- Incidenskezelés és biztonsági eseménynaplózás
- Üzletfolytonossági vezérlők
- Ellátási lánc biztonsági beállítások
Eredmény-kategóriák
Minden ellenőrzés háromféle eredményt adhat:
| Eredmény | Jelentés |
|---|---|
| Sikeres | A vezérlő helyesen van konfigurálva |
| Sikertelen | A vezérlő nem teljesül - javítás ajánlott |
| Kihagyott | Az ellenőrzés nem alkalmazható a bérlő konfigurációjához vagy licencéhez |
Súlyossági címkék
A L1/L2 (CIS) mellett minden ellenőrzés az Aether365 által hozzárendelt súlyossággal is rendelkezik:
| Súlyosság | Leírás |
|---|---|
| Kritikus | Közvetlen kihasználási kockázat vagy gyakori támadási vektor |
| Magas | Jelentős kockázat, mielőbb javítandó |
| Közepes | Kockázat létezik, de más vezérlők mérsékelnek |
| Alacsony | Jó gyakorlat, alacsonyabb azonnali kockázat |
Javítási útmutatás
Minden sikertelen ellenőrzés tartalmazza:
- Közérthető magyarázatot, miért bukott el az ellenőrzés
- Lépésről lépésre haladó útmutatást a javításhoz a Microsoft 365 admin központban vagy az Azure portálon
- Hivatkozást a hivatalos Microsoft dokumentációra
Jogi nyilatkozat
Az Aether365 megfelelőségi vizsgálatának eredményei tájékoztatási és biztonságfejlesztési célokat szolgálnak. Ezek a Microsoft 365 konfigurációdon alapuló automatikus ajánlások: nem minősülnek tanúsítványnak, igazolásnak vagy jogi garanciának semmilyen keretrendszernek, szabványnak vagy szabályozásnak (beleértve a CIS, EIDSCA, CISA SCuBA, NIS2 vagy GDPR előírásait) való megfelelésre vonatkozóan.
- Az Aether365 kizárólag konfigurációs metaadatokat olvas. Az eredmények előállításához nem dolgozza fel, nem tárolja és nem elemzi az üzleti tartalmadat, e-mailjeidet, fájljaidat vagy a végfelhasználók személyes adatait, és ügyféladat soha nem kerül AI vagy gépi tanulási szolgáltatásokhoz.
- A sikeres eredmény azt jelenti, hogy egy vezérlő a vizsgálat időpontjában az elvártnak megfelelően volt konfigurálva. Nem igazolja, hogy a szervezeted megfelel bármely törvénynek vagy szabályozásnak.
- Kizárólag te felelsz a szervezeted szabályozási megfelelőségéért, a vizsgálati eredmények értelmezéséért és az azokra való reagálásért, valamint a szabályozási kötelezettségeidből eredő bírságokért, büntetésekért vagy szankciókért.
Hivatalos tanúsításhoz vagy a megfelelőségi helyzeted jogi értékeléséhez fordulj képesített auditorhoz vagy jogi tanácsadóhoz.