Compliance-skanninger
Compliance-skanninger evaluerer Microsoft 365-leietakeren din mot etablerte sikkerhetsstandarder. Hver standard vedlikeholdes av en sikkerhetsmyndighet og definerer kontroller som organisasjoner bør implementere for å redusere risiko.
Støttede rammeverk
Benchmark-versjoner
Aether365 følger alltid den nyeste publiserte versjonen av hvert benchmark. Compliance-motoren oppdateres automatisk etter hvert som sikkerhetsmyndighetene utgir nye revisjoner, slik at skanningene dine gjenspeiler gjeldende standard uten at du trenger å gjøre noe. Versjonsnumrene nedenfor angir grunnlinjen som gjaldt da dette ble skrevet.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Vedlikeholdt av Center for Internet Security, er denne standarden den mest brukte M365-sikkerhetsstandarden. Den dekker:
- Konto og autentisering - MFA-krav, passordpolicyer, eldre autentisering
- Azure Active Directory / Entra ID - Betinget tilgang, rolletildelinger, privilegert tilgang
- E-postsikkerhet - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Ekstern tilgang, gjesteinnstillinger, møtepolicyer
- Microsoft 365-apper - Makroinnstillinger, tilleggspolicyer
- Revisjonslogging - Postboksrevisjon, enhetlig revisjonslogg
CIS-kontroller er merket Nivå 1 (L1) eller Nivå 2 (L2):
| Nivå | Betydning |
|---|---|
| L1 | Anbefalt for alle organisasjoner. Minimal innvirkning på drift. |
| L2 | Høyere sikkerhet, kan påvirke brukervennlighet. Anbefalt for sikkerhetssensitive miljøer. |
Kontroll-IDer følger formatet CIS.M365.{seksjon}.{underseksjon}.{element} - for eksempel CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA fokuserer spesifikt på Entra ID (tidligere Azure Active Directory)-konfigurasjon. Den dekker områder som CIS ikke fullt ut adresserer, inkludert:
- Autentiseringsmetoder (SSPR, MFA-registreringspolicyer)
- Gap i policyer for betinget tilgang
- Innstillinger for Privileged Identity Management (PIM)
- Tokenlevetid og sesjonskontroller
- Gjeste- og eksterne identitetsinnstillinger
CISA SCuBA M365-sikkerhetsgrunnlinje
Publisert av U.S. Cybersecurity and Infrastructure Security Agency, definerer SCuBA (Secure Cloud Business Applications) den amerikanske regjeringens sikkerhetsgrunnlinje for M365. Den er strukturert etter produkt:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online og OneDrive
- Microsoft 365 Apps
SCuBA er særlig relevant for organisasjoner i regulerte bransjer eller de som samarbeider med amerikanske forvaltningsorganer.
NIS2
NIS2 er EUs direktiv om nettverks- og informasjonssystemer (2022/2502). Aether365 tilordner M365-konfigurasjonskontroller til relevante NIS2-tekniske krav, og hjelper organisasjoner i EU med å påvise compliance med:
- Tilgangskontroll og autentisering (artikkel 21)
- Hendelseshåndtering og logging av sikkerhetshendelser
- Kontroller for forretningskontinuitet
- Innstillinger for forsyningskjedesikkerhet
Resultatkategorier
Hver kontroll returnerer ett av tre resultater:
| Resultat | Betydning |
|---|---|
| Bestått | Kontrollen er korrekt konfigurert |
| Ikke bestått | Kontrollen er ikke oppfylt - utbedring anbefales |
| Hoppet over | Kontrollen gjelder ikke for leietakerens konfigurasjon eller lisens |
Alvorlighetsetiketter
I tillegg til L1/L2 (CIS), har hver kontroll en alvorlighetsgrad tildelt av Aether365:
| Alvorlighetsgrad | Beskrivelse |
|---|---|
| Kritisk | Direkte utnyttelsesrisiko eller vanlig angrepsvektor |
| Høy | Betydelig risiko, bør utbedres raskt |
| Middels | Risiko finnes, men dempes av andre kontroller |
| Lav | Beste praksis, lavere umiddelbar risiko |
Utbedringsveiledning
Hver kontroll som ikke er bestått inkluderer:
- En forklaring i klart språk om hvorfor kontrollen feilet
- Trinnvise instruksjoner for å fikse det i Microsoft 365-administrasjonssenteret eller Azure-portalen
- En lenke til den offisielle Microsoft-dokumentasjonen
Ansvarsfraskrivelse
Resultatene fra Aether365 compliance-skanninger er ment som informasjon og som grunnlag for sikkerhetsforbedringer. De er automatiserte anbefalinger basert på din Microsoft 365-konfigurasjon - de er ikke en sertifisering, attestering eller juridisk garanti for compliance med noe rammeverk, standard eller regelverk (inkludert CIS, EIDSCA, CISA SCuBA, NIS2 eller GDPR).
- Aether365 leser kun konfigurasjonsmetadata. Tjenesten behandler, lagrer eller analyserer ikke forretningsinnholdet, e-posten, filene eller personopplysningene til sluttbrukerne dine for å produsere disse resultatene, og ingen kundedata sendes noensinne til AI- eller maskinlæringstjenester.
- Et bestått resultat betyr at en kontroll var konfigurert som forventet på skannetidspunktet. Det sertifiserer ikke at organisasjonen din etterlever noen lov eller forskrift.
- Du har alene ansvaret for organisasjonens etterlevelse av regelverk, for å tolke og handle på skanneresultatene, og for eventuelle bøter, sanksjoner eller straffereaksjoner som følger av dine regulatoriske forpliktelser.
For formell sertifisering eller en juridisk vurdering av compliance-situasjonen din bør du rådføre deg med en kvalifisert revisor eller juridisk rådgiver.