Frameworks de Conformidade
O Aether365 avalia o seu tenant Microsoft 365 face a quatro frameworks de segurança estabelecidos. Cada framework é mantido por uma autoridade diferente e tem uma área de foco, âmbito é público-alvo distintos.
CIS Microsoft 365 Foundations Benchmark
Mantido por: Center for Internet Security (CIS) Versão: v3.0 Público-alvo: Todas as organizações que utilizam Microsoft 365 Âmbito: Segurança de contas, Entra ID, Exchange, Teams, SharePoint, registo de auditoria
O CIS é o benchmark de segurança M365 mais amplamente adotado. Define um conjunto claro e acionável de controlos, cada um com orientações de implementação detalhadas. Os controlos são categorizados como Nível 1 ou Nível 2:
| Nível | Descrição | Quando aplicar |
|---|---|---|
| L1 | Controlos fundamentais com impacto operacional mínimo | Todas as organizações |
| L2 | Controlos mais rigorosos que podem afetar a experiência do utilizador | Ambientes sensíveis à segurança |
Formato do ID de verificação: CIS.M365.{secção}.{subsecção}.{item} - por exemplo, CIS.M365.1.1.1
Os controlos CIS abrangem as secções 1 a 9 do benchmark, incluindo:
- Secção 1: Gestão de Identidade e Acesso
- Secção 2: Microsoft Entra ID
- Secção 3: Aplicações Microsoft 365
- Secção 4: Microsoft Teams
- Secção 5: Segurança de Email (Exchange Online)
- Secção 6: SharePoint Online
- Secção 7: OneDrive
- Secção 8: Microsoft Defender
- Secção 9: Registo de Auditoria
EIDSCA (Entra ID Security Config Analyzer)
Mantido por: Microsoft e a comunidade open-source Público-alvo: Organizações com utilização significativa do Entra ID Âmbito: Profundidade de configuração do Entra ID
O EIDSCA foca-se especificamente no Entra ID (anteriormente Azure Active Directory) e abrange áreas que o CIS não aborda com o mesmo nível de profundidade. Áreas-chave:
- Registo de métodos de autenticação e políticas SSPR
- Lacunas em políticas de acesso condicional e cobertura de políticas base
- Configuração de Privileged Identity Management (PIM)
- Tempo de vida de tokens e controlos de sessão
- Definições de utilizadores convidados e colaboração B2B
- Definições de confiança de fornecedores de identidade externos
O EIDSCA é especialmente útil se a sua organização depende fortemente de funcionalidades do Entra ID como Privileged Identity Management, colaboração externa ou fluxos de autenticação personalizados.
Formato do ID de verificação: EIDSCA.{categoria}{número} - por exemplo, EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Mantido por: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Versão: Baseline publicada atual Público-alvo: Agências federais dos EUA e organizações que trabalham com elas; indústrias regulamentadas Âmbito: Suite completa de produtos M365
O SCuBA (Secure Cloud Business Applications) é a baseline de segurança do governo federal dos EUA para plataformas de produtividade na nuvem. Está estruturado por produto M365 em vez de por categoria de controlo:
| Produto | O que as verificações abrangem |
|---|---|
| Microsoft Entra ID | Gestão de identidade e acesso |
| Microsoft Defender for Office 365 | Políticas de proteção contra ameaças |
| Exchange Online | Transporte de email, anti-phishing, encriptação |
| Microsoft Teams | Acesso externo, políticas de reuniões |
| SharePoint Online e OneDrive | Partilha, controlo de acesso |
| Microsoft 365 Apps | Políticas de macros, gestão de suplementos |
| Power Platform | Políticas de conectores (apenas Enterprise) |
O SCuBA é relevante para além dos ambientes federais dos EUA. As suas declarações de política claras é o formato de teste automatizado tornam-no uma baseline útil para qualquer organização que procure orientação rigorosa é mantida de forma independente.
Formato do ID de verificação: MS.{PRODUTO}.{número}.{subnúmero} - por exemplo, MS.AAD.1.1
NIS2
Mantido por: União Europeia Diretiva: UE 2022/2502 (NIS2) Público-alvo: Organizações que operam na UE, especialmente operadores de entidades essenciais é importantes Âmbito: Medidas técnicas e organizacionais ao abrigo do Artigo 21
A NIS2 não é um benchmark técnico - é uma diretiva regulamentar. O Aether365 mapeia os controlos de configuração M365 para os requisitos técnicos que a NIS2 impõe ao abrigo do Artigo 21, que exige que as organizações tomem medidas adequadas para gerir o risco de cibersegurança.
As verificações NIS2 no Aether365 focam-se em:
| Área NIS2 | Controlos M365 |
|---|---|
| Controlo de acesso e autenticação | MFA, acesso privilegiado, acesso condicional |
| Tratamento de incidentes | Registo de auditoria, políticas de alerta, eventos de segurança |
| Continuidade do negócio | Definições de cópia de segurança e recuperação, residência de dados |
| Segurança da cadeia de fornecimento | Políticas de consentimento de aplicações, definições de conectores externos |
| Higiene cibernética básica | Autenticação legada, definições relacionadas com patches |
Âmbito da conformidade NIS2
O Aether365 abrange os controlos técnicos específicos do M365 relevantes para a NIS2. A conformidade total com a NIS2 requer um programa mais abrangente de medidas técnicas e organizacionais para além da sua configuração M365. Os resultados do Aether365 não constituem uma certificação de conformidade NIS2.
Comparação de frameworks
| Dimensão | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autoridade | CIS | Open source / Microsoft | CISA dos EUA | Regulamento da UE |
| Foco | M365 amplo | Profundidade Entra ID | Produto a produto | Regulamentar baseado em risco |
| Nível de detalhe | Alto | Muito alto | Alto | Moderado |
| Adequado para organizações da UE | Sim | Sim | Sim | Obrigatório |
| Adequado para agências federais EUA | Sim | Sim | Obrigatório | Não aplicável |
| Adequado para todas as organizações | Sim | Sim | Sim | Se regulamentado pela UE |
| Contagem de verificações no Aether365 | ~60 | ~40 | ~50 | ~30 |
Todos os frameworks são executados como parte de uma Análise de Conformidade. Não pode selecionar frameworks individuais por análise - todas as verificações aplicáveis são executadas em conjunto e os resultados são etiquetados por framework para filtragem.