Atbilstības skenēsanas
Atbilstības skenēsanas novērtē jūsu Microsoft 365 nomnieku pret atzītiem drosibas etaloniem. Katru etalonu uztur drosibas iestāde, un tas definē kontroles, kuras organizācijām vajadzētu ieviest risku mazināsanai.
Atbalstītie ietvari
Etalonu versijas
Aether365 vienmēr seko katra etalona jaunākajai publicētajai versijai. Atbilstības dzinis tiek atjaunināts automātiski, tiklīdz drosibas iestādes izdod jaunas redakcijas, tāpēc jūsu skenēsanas atspoguļo pasreizējo standartu bez jebkādas rīcības no jūsu puses. Tālāk norādītie versiju numuri norāda rakstīsanas brīdī spēkā esoso bāzlīniju.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Uztur Center for Internet Security, šis etalons ir visplasāk lietotais M365 drosibas standarts. Tas aptver:
- Konti un autentifikācija - MFA prasības, paroļu politikas, mantotā autentifikācija
- Azure Active Directory / Entra ID - Nosacītā piekļuve, lomu piešķīrumi, privilegētā piekļuve
- E-pasta drosiba - Pret pikšķerēsanu, pret surogātpastu, DKIM, DMARC, SPF
- Microsoft Teams - Ārējā piekļuve, viesu iestatījumi, sapulču politikas
- Microsoft 365 lietojumprogrammas - Makro iestatījumi, papildinājumu politikas
- Audita reģistrēsana - Pastkastes audits, vienotais audita žurnāls
CIS kontroles tiek apzīmētas kā 1. līmenis (L1) vai 2. līmenis (L2):
| Līmenis | Nozīme |
|---|---|
| L1 | Ieteicams visām organizācijām. Minimāla ietekme uz darbību. |
| L2 | Augstāka drosiba, var ietekmēt lietojamību. Ieteicams drosibas ziņā jutīgām vidēm. |
Pārbaužu ID seko formātam CIS.M365.{sadaļa}.{apakšsadaļa}.{elements} - piemēram, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA koncentrējas tieši uz Entra ID (iepriekš Azure Active Directory) konfigurāciju. Tas aptver jomas, kuras CIS pilnībā nerisina, ieskaitot:
- Autentifikācijas metodes (SSPR, MFA reģistrācijas politikas)
- Nosacītās piekļuves politiku trūkumi
- Privileged Identity Management (PIM) iestatījumi
- Tokenu darbības laiki un sesiju kontroles
- Viesu un ārējo identitāšu iestatījumi
CISA SCuBA M365 drosibas bāzlīnija
Publicēja ASV Kiberdrosibas un infrastruktūras drosibas aģentūra, SCuBA (Secure Cloud Business Applications) definē federālās valdības drosibas bāzlīniju M365. Tā ir strukturēta pēc produkta:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online un OneDrive
- Microsoft 365 Apps
SCuBA ir īpasi aktuāls organizācijām regulētajās nozarēs vai tām, kas sadarbojas ar ASV federālajām aģentūrām.
NIS2
NIS2 ir ES Tīklu un informācijas sistēmu direktīva (2022/2502). Aether365 kartē M365 konfigurācijas kontroles uz attiecīgajām NIS2 tehniskajām prasībām, palīdzot Eiropas Savienības organizācijām demonstrēt atbilstību:
- Piekļuves kontrole un autentifikācija (21. pants)
- Incidentu apstrāde un drosibas notikumu reģistrēsana
- Darbības nepārtrauktības kontroles
- Piegādes ķēdes drosibas iestatījumi
Rezultātu kategorijas
Katra pārbaude atgriez vienu no trim rezultātiem:
| Rezultāts | Nozīme |
|---|---|
| Izturēts | Kontrole ir pareizi konfigurēta |
| Neizturēts | Kontrole nav izpildīta - ieteicama novērsana |
| Izlaists | Pārbaude nav piemērojama jūsu nomnieka konfigurācijai vai licencei |
Smaguma etiķetes
Papildus L1/L2 (CIS), katrai pārbaudei Aether365 piešķir smagumu:
| Smagums | Apraksts |
|---|---|
| Kritisks | Tiess ekspluatācijas risks vai biezs uzbrukuma vektors |
| Augsts | Būtisks risks, jānovērs nekavējoties |
| Vidējs | Risks pastāv, bet to mazina citas kontroles |
| Zems | Labākā prakse, zemāks tūlītējs risks |
Novērsanas norādījumi
Katra neizturēta pārbaude ietver:
- Vienkārsā valodā skaidrojumu, kāpēc pārbaude neizdevās
- Soli pa solim norādījumus, kā to novērst Microsoft 365 administrēsanas centrā vai Azure portālā
- Saiti uz oficiālo Microsoft dokumentāciju
Atruna
Aether365 atbilstības skenēsanas rezultāti tiek sniegti informatīviem un drosibas uzlabosanas nolūkiem. Tie ir automatizēti ieteikumi, kuru pamatā ir jūsu Microsoft 365 konfigurācija - tie nav sertifikāts, apliecinājums vai juridiska garantija par atbilstību kādam ietvaram, standartam vai regulai (tostarp CIS, EIDSCA, CISA SCuBA, NIS2 vai GDPR).
- Aether365 nolasa tikai konfigurācijas metadatus. Lai sagatavotu sos rezultātus, tas neapstrādā, neglabā un neanalizē jūsu biznesa saturu, e-pastu, failus vai galalietotāju personas datus, un nekādi klienta dati nekad netiek nosūtīti AI vai masīnmācīsanās pakalpojumiem.
- Izturēts rezultāts nozīmē, ka kontrole skenēsanas brīdī bija konfigurēta, kā paredzēts. Tas neapliecina, ka jūsu organizācija atbilst kādam likumam vai regulai.
- Jūs paliekat vienpersoniski atbildīgs par savas organizācijas atbilstību normatīvajiem aktiem, par skenēsanas rezultātu interpretēsanu un rīcību saskaņā ar tiem, kā arī par jebkādiem naudas sodiem, soda sankcijām vai citām sankcijām, kas izriet no jūsu normatīvajām saistībām.
Lai iegūtu formālu sertifikāciju vai juridisku jūsu atbilstības stāvokļa novērtējumu, vērsieties pie kvalificēta auditora vai juridiskā padomnieka.