Análises de Conformidade
As análises de conformidade avaliam o seu tenant Microsoft 365 face a benchmarks de segurança estabelecidos. Cada benchmark é mantido por uma autoridade de segurança e define controlos que as organizações devem implementar para reduzir o risco.
Frameworks Suportados
Versões dos benchmarks
O Aether365 acompanha sempre a versão mais recente publicada de cada benchmark. O motor de conformidade é atualizado automaticamente à medida que as autoridades de segurança publicam novas revisões, pelo que as suas análises refletem o padrão atual sem qualquer ação da sua parte. Os números de versão indicados abaixo correspondem à baseline em vigor à data de redação.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Mantido pelo Center for Internet Security, este benchmark é o padrão de segurança M365 mais amplamente utilizado. Abrange:
- Conta e Autenticação - Requisitos de MFA, políticas de palavras-passe, autenticação legada
- Azure Active Directory / Entra ID - Acesso condicional, atribuições de funções, acesso privilegiado
- Segurança de Email - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Acesso externo, definições de convidados, políticas de reuniões
- Aplicações Microsoft 365 - Definições de macros, políticas de suplementos
- Registo de Auditoria - Auditoria de caixas de correio, registo de auditoria unificado
Os controlos CIS são classificados como Nível 1 (L1) ou Nível 2 (L2):
| Nível | Significado |
|---|---|
| L1 | Recomendado para todas as organizações. Impacto mínimo nas operações. |
| L2 | Segurança superior, pode afetar a usabilidade. Recomendado para ambientes sensíveis a segurança. |
Os IDs de verificação seguem o formato CIS.M365.{secção}.{subsecção}.{item} - por exemplo, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
O EIDSCA foca-se especificamente na configuração do Entra ID (anteriormente Azure Active Directory). Abrange áreas não totalmente cobertas pelo CIS, incluindo:
- Métodos de autenticação (SSPR, políticas de registo de MFA)
- Lacunas em políticas de acesso condicional
- Definições de Privileged Identity Management (PIM)
- Tempo de vida de tokens e controlos de sessão
- Definições de convidados e identidade externa
CISA SCuBA M365 Security Baseline
Publicado pela U.S. Cybersecurity and Infrastructure Security Agency, o SCuBA (Secure Cloud Business Applications) define a baseline de segurança do governo federal para M365. Está estruturado por produto:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online e OneDrive
- Microsoft 365 Apps
O SCuBA é particularmente relevante para organizações em indústrias regulamentadas ou que trabalham com agências federais dos EUA.
NIS2
A NIS2 é a Diretiva da UE relativa a Redes e Sistemas de Informação (2022/2502). O Aether365 mapeia os controlos de configuração M365 para os requisitos técnicos relevantes da NIS2, ajudando organizações na União Europeia a demonstrar conformidade com:
- Controlo de acesso e autenticação (Artigo 21)
- Tratamento de incidentes e registo de eventos de segurança
- Controlos de continuidade do negócio
- Definições de segurança da cadeia de fornecimento
Categorias de Resultados
Cada verificação devolve um de três resultados:
| Resultado | Significado |
|---|---|
| Aprovado | O controlo está corretamente configurado |
| Reprovado | O controlo não é cumprido - remediação recomendada |
| Ignorado | A verificação não é aplicável a configuração ou licença do seu tenant |
Rótulos de Gravidade
Para além de L1/L2 (CIS), cada verificação tem uma gravidade atribuída pelo Aether365:
| Gravidade | Descrição |
|---|---|
| Crítica | Risco de exploração direta ou vetor de ataque comum |
| Alta | Risco significativo, deve ser remediado prontamente |
| Média | Risco existente mas mitigado por outros controlos |
| Baixa | Boa prática, risco imediato mais baixo |
Orientações de Remediação
Cada verificação reprovada inclui:
- Uma explicação em linguagem simples de porque é que a verificação reprovou
- Instruções passo a passo para corrigir no centro de administração Microsoft 365 ou portal Azure
- Uma ligação para a documentação oficial da Microsoft
Aviso legal
Os resultados das análises de conformidade do Aether365 são fornecidos para fins informativos e de melhoria da segurança. São recomendações automáticas baseadas na configuração do seu Microsoft 365 - não constituem uma certificação, atestado ou garantia legal de conformidade com qualquer framework, norma ou regulamento (incluindo CIS, EIDSCA, CISA SCuBA, NIS2 ou GDPR).
- O Aether365 lê apenas metadados de configuração. Não processa, armazena nem analisa o conteúdo do seu negócio, emails, ficheiros ou dados pessoais dos utilizadores finais para produzir estes resultados, e nenhum dado de cliente é alguma vez enviado para serviços de AI ou de machine learning.
- Um resultado aprovado significa que um controlo estava configurado conforme esperado no momento da análise. Não certifica que a sua organização cumpre qualquer lei ou regulamento.
- A responsabilidade pela conformidade regulamentar da sua organização, pela interpretação e atuação sobre os resultados das análises, e por quaisquer coimas, penalizações ou sanções decorrentes das suas obrigações regulamentares permanece exclusivamente sua.
Para uma certificação formal ou uma avaliação jurídica da sua postura de conformidade, consulte um auditor qualificado ou um consultor jurídico.