Scanări de conformitate
Scanările de conformitate evaluează tenant-ul Microsoft 365 în raport cu benchmark-uri de securitate consacrate. Fiecare benchmark este întreținut de o autoritate de securitate și definește controale pe care organizațiile ar trebui să le implementeze pentru a reduce riscul.
Framework-uri suportate
Versiunile benchmark-urilor
Aether365 urmărește mereu cea mai recentă versiune publicată a fiecărui benchmark. Motorul de conformitate este actualizat automat pe măsură ce autoritățile de securitate lansează revizii noi, astfel încât scanările dvs. reflectă standardul actual fără nicio acțiune din partea dvs. Numerele de versiune de mai jos indică linia de bază în vigoare la momentul redactării.
CIS Microsoft 365 Foundations Benchmark (v5.0)
�ntreținut de Center for Internet Security, acest benchmark este cel mai utilizat standard de securitate M365. Acoperă:
- Cont și autentificare - cerințe MFA, politici de parole, autentificare legacy
- Azure Active Directory / Entra ID - acces condiționat, atribuiri de roluri, acces privilegiat
- Securitate email - anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - acces extern, setări invitați, politici de întâlnire
- Aplicații Microsoft 365 - setări macro, politici add-in
- Jurnalizare audit - auditare căsuți poștale, jurnal de audit unificat
Controalele CIS sunt etichetate Nivel 1 (L1) sau Nivel 2 (L2):
| Nivel | Semnificație |
|---|---|
| L1 | Recomandat pentru toate organizațiile. Impact minim asupra operațiunilor. |
| L2 | Securitate mai ridicată, poate afecta ușurința în utilizare. Recomandat pentru medii sensibile. |
ID-urile verificărilor urmează formatul CIS.M365.{secțiune}.{subsecțiune}.{element} - de exemplu, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA se concentrează specific pe configurația Entra ID (fostul Azure Active Directory). Acoperă zone neabordate complet de CIS, inclusiv:
- Metode de autentificare (politici SSPR, înregistrare MFA)
- Lacune în politicile de acces condiționat
- Setări Privileged Identity Management (PIM)
- Controale de durată token și sesiune
- Setări pentru invitați și identități externe
CISA SCuBA M365 Security Baseline
Publicat de U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) definește linia de bază de securitate a guvernului federal pentru M365. Este structurat pe produs:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online și OneDrive
- Microsoft 365 Apps
SCuBA este relevant în special pentru organizațiile din industrii reglementate sau care lucrează cu agenții federale din SUA.
NIS2
NIS2 este Directiva UE privind rețelele și sistemele informatice (2022/2502). Aether365 mapează controalele de configurare M365 la cerințele tehnice NIS2 relevante, ajutând organizațiile din Uniunea Europeană să demonstreze conformitatea cu:
- Controlul accesului și autentificarea (Articolul 21)
- Gestionarea incidentelor și jurnalizarea evenimentelor de securitate
- Controale de continuitate a afacerii
- Setări de securitate a lanțului de aprovizionare
Categorii de rezultate
Fiecare verificare returnează unul din trei rezultate:
| Rezultat | Semnificație |
|---|---|
| Passed | Controlul este corect configurat |
| Failed | Controlul nu este îndeplinit - se recomandă remedierea |
| Skipped | Verificarea nu se aplică configurației sau licenței tenant-ului dvs. |
Etichete de severitate
Pe lângă L1/L2 (CIS), fiecare verificare are o severitate atribuită de Aether365:
| Severitate | Descriere |
|---|---|
| Critical | Risc direct de exploatare sau vector de atac frecvent |
| High | Risc semnificativ, trebuie remediat prompt |
| Medium | Riscul există dar este atenuat de alte controale |
| Low | Bună practică, risc imediat mai scăzut |
Ghidaj de remediere
Fiecare verificare eșuată include:
- O explicație în limbaj accesibil a motivului pentru care verificarea a eșuat
- Instrucțiuni pas cu pas pentru remediere în centrul de administrare Microsoft 365 sau portalul Azure
- Un link către documentația oficială Microsoft
Mențiuni legale
Rezultatele scanărilor de conformitate Aether365 sunt furnizate în scop informativ și pentru îmbunătățirea securității. Sunt recomandări automate bazate pe configurația dvs. Microsoft 365 - nu reprezintă o certificare, atestare sau garanție legală a conformității cu vreun framework, standard sau reglementare (inclusiv CIS, EIDSCA, CISA SCuBA, NIS2 sau GDPR).
- Aether365 citește doar metadate de configurare. Nu prelucrează, stochează sau analizează conținutul dvs. de afaceri, emailurile, fișierele sau datele personale ale utilizatorilor finali pentru a produce aceste rezultate, iar datele clienților nu sunt trimise niciodată către servicii AI sau de machine learning.
- Un rezultat de tip trecut înseamnă că un control a fost configurat conform așteptărilor la momentul scanării. Nu certifică faptul că organizația dvs. respectă vreo lege sau reglementare.
- Rămâneți singurul responsabil pentru conformitatea organizației dvs. cu reglementările, pentru interpretarea și aplicarea rezultatelor scanărilor și pentru orice amenzi, penalități sau sancțiuni rezultate din obligațiile dvs. de reglementare.
Pentru o certificare oficială sau o evaluare legală a posturii dvs. de conformitate, consultați un auditor calificat sau un consilier juridic.