Compliance scans
Onderhouden door: Aether365 Team Doelgroep: Beveiligingsbeheerders en compliance officers Scope: Uitvoering van compliance scans, behandelde frameworks en resultaatstructuur
Compliance scans evalueren je Microsoft 365 tenant tegen erkende beveiligingsbenchmarks. Elke benchmark wordt onderhouden door een beveiligingsautoriteit en definieert controles die organisaties zouden moeten implementeren om risico's te verminderen.
Ondersteunde frameworks
Benchmarkversies
Aether365 volgt altijd de meest recente gepubliceerde versie van elke benchmark. De compliance-engine wordt automatisch bijgewerkt zodra beveiligingsautoriteiten nieuwe revisies uitbrengen, zodat je scans de actuele standaard weerspiegelen zonder dat je daar iets voor hoeft te doen. De versienummers hieronder geven de baseline aan die geldt op het moment van schrijven.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Onderhouden door het Center for Internet Security, is deze benchmark de meest gebruikte M365-beveiligingsstandaard. Deze dekt:
- Account en authenticatie - MFA-vereisten, wachtwoordbeleid, verouderde authenticatie
- Azure Active Directory / Entra ID - Conditional access, roltoewijzingen, geprivilegieerde toegang
- E-mailbeveiliging - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Externe toegang, gastinstellingen, vergaderbeleid
- Microsoft 365 Apps - Macro-instellingen, add-inbeleid
- Auditlogging - Postvakaudit, unified audit log
CIS-controles zijn gelabeld als Level 1 (L1) of Level 2 (L2):
| Level | Betekenis |
|---|---|
| L1 | Aanbevolen voor alle organisaties. Minimale impact op bedrijfsvoering. |
| L2 | Hogere beveiliging, kan gebruiksgemak beinvloeden. Aanbevolen voor beveiligingsgevoelige omgevingen. |
Check-ID's volgen het formaat CIS.M365.{sectie}.{subsectie}.{item} - bijvoorbeeld CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA richt zich specifiek op de configuratie van Entra ID (voorheen Azure Active Directory). Het dekt gebieden die niet volledig door CIS worden geadresseerd, waaronder:
- Authenticatiemethoden (SSPR, MFA-registratiebeleid)
- Hiaten in conditional access-beleid
- Privileged Identity Management (PIM)-instellingen
- Tokenlevensduur en sessiebeheer
- Gast- en externe identiteitsinstellingen
CISA SCuBA M365 Security Baseline
Gepubliceerd door het U.S. Cybersecurity and Infrastructure Security Agency, definieert SCuBA (Secure Cloud Business Applications) de beveiligingsbaseline van de federale overheid voor M365. De structuur is per product:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online en OneDrive
- Microsoft 365 Apps
SCuBA is bijzonder relevant voor organisaties in gereguleerde sectoren of organisaties die samenwerken met Amerikaanse federale instanties.
NIS2
NIS2 is de EU-richtlijn voor netwerk- en informatiebeveiliging (2022/2502). Aether365 koppelt M365-configuratiecontroles aan relevante technische NIS2-vereisten, waardoor organisaties in de Europese Unie compliance kunnen aantonen met:
- Toegangsbeheer en authenticatie (Artikel 21)
- Incidentafhandeling en logging van beveiligingsgebeurtenissen
- Bedrijfscontinuiteitscontroles
- Instellingen voor ketenbeveiliging
Resultaatcategorieen
Elke controle levert een van drie resultaten op:
| Resultaat | Betekenis |
|---|---|
| Passed | De controle is correct geconfigureerd |
| Failed | De controle is niet voldaan - herstel wordt aanbevolen |
| Skipped | De controle is niet van toepassing op de configuratie of licentie van je tenant |
Ernstniveaulabels
Naast L1/L2 (CIS) heeft elke controle een ernstniveau dat door Aether365 is toegewezen:
| Ernstniveau | Beschrijving |
|---|---|
| Critical | Direct exploitatierisico of veelvoorkomende aanvalsvector |
| High | Significant risico, moet snel worden verholpen |
| Medium | Risico bestaat maar wordt beperkt door andere controles |
| Low | Best practice, lager direct risico |
Hersteladvies
Elke mislukte controle bevat:
- Een begrijpelijke uitleg waarom de controle is mislukt
- Stapsgewijze instructies om het op te lossen in het Microsoft 365-beheercentrum of Azure-portal
- Een link naar de officiele Microsoft-documentatie
Disclaimer
De resultaten van Aether365 compliance scans worden verstrekt ter informatie en ter verbetering van de beveiliging. Het zijn geautomatiseerde aanbevelingen op basis van je Microsoft 365-configuratie: het is geen certificering, attestatie of juridische garantie van compliance met enig framework, enige standaard of regelgeving (waaronder CIS, EIDSCA, CISA SCuBA, NIS2 of GDPR).
- Aether365 leest uitsluitend configuratiemetadata. Het verwerkt, bewaart of analyseert je bedrijfsinhoud, e-mail, bestanden of persoonsgegevens van eindgebruikers niet om deze resultaten te genereren, en er worden nooit klantgegevens naar AI- of machine-learningdiensten gestuurd.
- Een geslaagd resultaat betekent dat een controle op het moment van scannen was geconfigureerd zoals verwacht. Het certificeert niet dat je organisatie voldoet aan enige wet of regelgeving.
- Je blijft als enige verantwoordelijk voor de naleving van regelgeving door je organisatie, voor het interpreteren van en handelen naar scanresultaten, en voor eventuele boetes, sancties of straffen die voortvloeien uit je wettelijke verplichtingen.
Raadpleeg voor een formele certificering of een juridische beoordeling van je compliancepositie een gekwalificeerde auditor of juridisch adviseur.