Scansioni compliance
Maintainer: Aether365 Team Destinatari: Amministratori della sicurezza e responsabili della conformità Ambito: Esecuzione delle scansioni compliance, framework coperti e struttura dei risultati
Le scansioni compliance valutano il tuo tenant Microsoft 365 rispetto a benchmark di sicurezza consolidati. Ogni benchmark è mantenuto da un'autorità di sicurezza e definisce controlli che le organizzazioni dovrebbero implementare per ridurre il rischio.
Framework supportati
Versioni dei benchmark
Aether365 si allinea sempre alla versione più recente pubblicata di ciascun benchmark. Il motore di compliance viene aggiornato automaticamente non appena le autorità di sicurezza rilasciano nuove revisioni, così le tue scansioni riflettono lo standard attuale senza che tu debba fare nulla. I numeri di versione indicati di seguito rappresentano la baseline in vigore al momento della stesura.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Mantenuto dal Center for Internet Security, questo benchmark è lo standard di sicurezza M365 più utilizzato. Copre:
- Account e autenticazione - Requisiti MFA, policy sulle password, autenticazione legacy
- Azure Active Directory / Entra ID - Accesso condizionale, assegnazione dei ruoli, accesso privilegiato
- Sicurezza email - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Accesso esterno, impostazioni ospiti, policy per le riunioni
- Microsoft 365 Apps - Impostazioni macro, policy per i componenti aggiuntivi
- Log di audit - Auditing delle caselle di posta, log di audit unificato
I controlli CIS sono classificati come Livello 1 (L1) o Livello 2 (L2):
| Livello | Significato |
|---|---|
| L1 | Consigliati per tutte le organizzazioni. Impatto minimo sulle operazioni. |
| L2 | Sicurezza più elevata, può influire sull'usabilità. Consigliati per ambienti ad alta sicurezza. |
Gli ID dei controlli seguono il formato CIS.M365.{sezione}.{sottosezione}.{elemento} - ad esempio, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA si concentra specificamente sulla configurazione di Entra ID (ex Azure Active Directory). Copre aree non completamente affrontate da CIS, tra cui:
- Metodi di autenticazione (SSPR, policy di registrazione MFA)
- Lacune nelle policy di accesso condizionale
- Impostazioni di Privileged Identity Management (PIM)
- Durata dei token e controlli di sessione
- Impostazioni per ospiti e identità esterne
CISA SCuBA M365 Security Baseline
Pubblicata dalla U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) definisce la baseline di sicurezza del governo federale per M365. È strutturata per prodotto:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online e OneDrive
- Microsoft 365 Apps
SCuBA è particolarmente rilevante per le organizzazioni in settori regolamentati o che collaborano con agenzie federali statunitensi.
NIS2
NIS2 è la Direttiva UE sulle reti e i sistemi informativi (2022/2502). Aether365 mappa i controlli di configurazione M365 ai requisiti tecnici rilevanti della NIS2, aiutando le organizzazioni nell'Unione Europea a dimostrare la conformità con:
- Controllo degli accessi e autenticazione (Articolo 21)
- Gestione degli incidenti e registrazione degli eventi di sicurezza
- Controlli di continuità operativa
- Impostazioni di sicurezza della supply chain
Categorie di risultato
Ogni controllo restituisce uno dei tre risultati:
| Risultato | Significato |
|---|---|
| Superato | Il controllo è configurato correttamente |
| Non superato | Il controllo non è soddisfatto - correzione consigliata |
| Ignorato | Il controllo non è applicabile alla configurazione o alla licenza del tenant |
Etichette di gravità
Oltre a L1/L2 (CIS), ogni controllo ha una gravità assegnata da Aether365:
| Gravità | Descrizione |
|---|---|
| Critica | Rischio di sfruttamento diretto o vettore di attacco comune |
| Alta | Rischio significativo, da correggere rapidamente |
| Media | Il rischio esiste ma è mitigato da altri controlli |
| Bassa | Best practice, rischio immediato inferiore |
Istruzioni di correzione
Ogni controllo non superato include:
- Una spiegazione in linguaggio semplice del perché il controllo non è stato superato
- Istruzioni passo per passo per risolvere il problema nel centro di amministrazione Microsoft 365 o nel portale Azure
- Un link alla documentazione ufficiale Microsoft
Avvertenze legali
I risultati delle scansioni compliance di Aether365 sono forniti a scopo informativo e di miglioramento della sicurezza. Si tratta di raccomandazioni automatiche basate sulla configurazione del tuo ambiente Microsoft 365: non costituiscono una certificazione, un'attestazione o una garanzia legale di conformità ad alcun framework, standard o normativa (inclusi CIS, EIDSCA, CISA SCuBA, NIS2 o GDPR).
- Aether365 legge esclusivamente i metadati di configurazione. Non tratta, archivia o analizza i contenuti aziendali, le email, i file o i dati personali degli utenti finali per produrre questi risultati, e nessun dato del cliente viene mai inviato a servizi di AI o di machine learning.
- Un risultato superato indica che un controllo era configurato come previsto al momento della scansione. Non certifica che la tua organizzazione sia conforme ad alcuna legge o normativa.
- Resti l'unico responsabile della conformità normativa della tua organizzazione, dell'interpretazione e dell'attuazione dei risultati delle scansioni, nonché di eventuali multe, sanzioni o provvedimenti derivanti dai tuoi obblighi normativi.
Per una certificazione formale o una valutazione legale della tua postura di conformità, rivolgiti a un revisore qualificato o a un consulente legale.