Skany compliance
Autor: Zespół Aether365 Odbiorcy: Administratorzy bezpieczeństwa i specjaliści ds. zgodności Zakres: Wykonywanie skanów compliance, obsługiwane frameworki i struktura wyników
Skany compliance oceniają Twojego tenanta Microsoft 365 pod kątem uznanych benchmarków bezpieczeństwa. Każdy benchmark jest utrzymywany przez organizację ds. bezpieczeństwa i definiuje kontrole, które organizacje powinny wdrożyć w celu redukcji ryzyka.
Obsługiwane frameworki
Wersje benchmarków
Aether365 zawsze śledzi najnowszą opublikowaną wersję każdego benchmarku. Silnik compliance jest aktualizowany automatycznie w miarę publikowania nowych wersji przez organizacje ds. bezpieczeństwa, więc Twoje skany odzwierciedlają aktualny standard bez żadnych działań z Twojej strony. Numery wersji podane poniżej wskazują standard obowiązujący w momencie powstania tego dokumentu.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Utrzymywany przez Center for Internet Security, ten benchmark jest najszerzej stosowanym standardem bezpieczeństwa M365. Obejmuje:
- Konta i uwierzytelnianie - wymagania MFA, polityki haseł, przestarzałe uwierzytelnianie
- Azure Active Directory / Entra ID - dostęp warunkowy, przypisania ról, dostęp uprzywilejowany
- Bezpieczeństwo poczty - anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - dostęp zewnętrzny, ustawienia gości, polityki spotkań
- Aplikacje Microsoft 365 - ustawienia makr, polityki dodatków
- Rejestrowanie audytów - audyt skrzynek pocztowych, ujednolicony dziennik audytu
Kontrole CIS oznaczone są jako Level 1 (L1) lub Level 2 (L2):
| Poziom | Znaczenie |
|---|---|
| L1 | Zalecane dla wszystkich organizacji. Minimalny wpływ na operacje. |
| L2 | Wyższe bezpieczeństwo, może wpływać na użyteczność. Zalecane dla środowisk wrażliwych na bezpieczeństwo. |
Identyfikatory kontroli mają format CIS.M365.{sekcja}.{podsekcja}.{element} - na przykład CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA skupia się konkretnie na konfiguracji Entra ID (dawniej Azure Active Directory). Obejmuje obszary, których CIS nie adresuje w pełni:
- Metody uwierzytelniania (polityki rejestracji SSPR i MFA)
- Luki w politykach dostępu warunkowego
- Ustawienia Privileged Identity Management (PIM)
- Czas życia tokenów i kontrole sesji
- Ustawienia gości i tożsamości zewnętrznych
CISA SCuBA M365 Security Baseline
Opublikowany przez U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) definiuje federalny bazowy standard bezpieczeństwa rządu USA dla M365. Jest strukturyzowany według produktów:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online i OneDrive
- Microsoft 365 Apps
SCuBA jest szczególnie przydatna dla organizacji w branżach regulowanych lub współpracujących z agencjami federalnymi USA.
NIS2
NIS2 to dyrektywa UE w sprawie sieci i systemów informacyjnych (2022/2502). Aether365 mapuje kontrole konfiguracji M365 na odpowiednie wymagania techniczne NIS2, pomagając organizacjom w Unii Europejskiej wykazać zgodność z:
- Kontrolą dostępu i uwierzytelnianiem (artykuł 21)
- Obsługą incydentów i rejestrowaniem zdarzeń bezpieczeństwa
- Kontrolami ciągłości działania
- Ustawieniami bezpieczeństwa łańcucha dostaw
Kategorie wyników
Każda kontrola zwraca jeden z trzech wyników:
| Wynik | Znaczenie |
|---|---|
| Passed | Kontrola jest prawidłowo skonfigurowana |
| Failed | Kontrola nie jest spełniona - zalecana naprawa |
| Skipped | Kontrola nie dotyczy konfiguracji lub licencji Twojego tenanta |
Etykiety ważności
Oprócz L1/L2 (CIS) każda kontrola ma przypisaną ważność przez Aether365:
| Ważność | Opis |
|---|---|
| Critical | Bezpośrednie ryzyko eksploatacji lub popularny wektor ataku |
| High | Istotne ryzyko, wymaga szybkiej naprawy |
| Medium | Ryzyko istnieje, ale łagodzone przez inne kontrole |
| Low | Najlepsza praktyka, niższe bezpośrednie ryzyko |
Wskazówki naprawcze
Każda niespełniona kontrola zawiera:
- Wyjaśnienie w prostym języku, dlaczego kontrola nie została spełniona
- Instrukcje krok po kroku do naprawy w centrum administracyjnym Microsoft 365 lub portalu Azure
- Link do oficjalnej dokumentacji Microsoft
Zastrzeżenie
Wyniki skanów compliance Aether365 mają charakter informacyjny i służą poprawie bezpieczeństwa. Są to automatyczne rekomendacje oparte na konfiguracji Twojego Microsoft 365 - nie stanowią certyfikacji, poświadczenia ani prawnej gwarancji zgodności z jakimkolwiek frameworkiem, standardem czy regulacją (w tym CIS, EIDSCA, CISA SCuBA, NIS2 lub GDPR).
- Aether365 odczytuje wyłącznie metadane konfiguracji. Nie przetwarza, nie przechowuje ani nie analizuje treści biznesowych, poczty, plików ani danych osobowych użytkowników końcowych w celu wygenerowania tych wyników, a żadne dane klienta nigdy nie są przesyłane do usług AI ani uczenia maszynowego.
- Wynik pozytywny oznacza, że kontrola była skonfigurowana zgodnie z oczekiwaniami w momencie skanu. Nie poświadcza, że Twoja organizacja jest zgodna z jakimkolwiek prawem lub regulacją.
- To Ty ponosisz wyłączną odpowiedzialność za zgodność regulacyjną swojej organizacji, za interpretację wyników skanów i działania na ich podstawie, a także za wszelkie grzywny, kary lub sankcje wynikające z Twoich obowiązków regulacyjnych.
W celu uzyskania formalnej certyfikacji lub prawnej oceny stanu zgodności skonsultuj się z wykwalifikowanym audytorem lub doradcą prawnym.