Skeny zhody
Skeny zhody vyhodnocujú váš Microsoft 365 tenant oproti uznávaným bezpečnostným štandardom. Každý štandard je spravovaný bezpečnostnou autoritou a definuje kontroly, ktoré by organizácie mali implementovať na zníženie rizika.
Podporované rámce
Verzie benchmarkov
Aether365 vždy sleduje najnovšiu publikovanú verziu každého benchmarku. Engine pre vyhodnocovanie zhody sa aktualizuje automaticky, len čo bezpečnostné autority vydajú novú revíziu, takže vaše skeny odrážajú aktuálny štandard bez akéhokoľvek zásahu z vašej strany. Čísla verzií uvedené nižšie označujú základ platný v čase písania.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Spravovaný organizáciou Center for Internet Security, tento štandard je najrozšírenejším bezpečnostným štandardom pre M365. Pokrýva:
- Účty a autentifikácia - požiadavky na MFA, politiky hesiel, staré metódy autentifikácie
- Azure Active Directory / Entra ID - podmienený prístup, priradenie rolí, privilegovaný prístup
- Zabezpečenie e-mailov - anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - externý prístup, nastavenia hostí, politiky stretnutí
- Microsoft 365 Apps - nastavenia makier, politiky doplnkov
- Auditné protokolovanie - audit poštových schránok, jednotný auditný protokol
Kontroly CIS sú označené úrovňou Level 1 (L1) alebo Level 2 (L2):
| Úroveň | Význam |
|---|---|
| L1 | Odporúčané pre všetky organizácie. Minimálny dopad na prevádzku. |
| L2 | Vyššia bezpečnosť, môže ovplyvniť použiteľnosť. Odporúčané pre citlivé prostredia. |
ID kontrol majú formát CIS.M365.{sekcia}.{podsekcia}.{položka} - napríklad CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA sa zameriava špeciálne na konfiguráciu Entra ID (predtým Azure Active Directory). Pokrýva oblasti, ktoré CIS plne nepokrýva:
- Metódy autentifikácie (SSPR, politiky registrácie MFA)
- Medzery v politikách podmieneného prístupu
- Nastavenia Privileged Identity Management (PIM)
- Životnosť tokenov a riadenie relácií
- Nastavenia hostí a externých identít
CISA SCuBA M365 Security Baseline
Publikovaný agentúrou U.S. Cybersecurity and Infrastructure Security Agency, SCuBA (Secure Cloud Business Applications) definuje bezpečnostný základ federálnej vlády pre M365. Je štruktúrovaný podľa produktov:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online a OneDrive
- Microsoft 365 Apps
SCuBA je obzvlášť relevantný pre organizácie v regulovaných odvetviach alebo spolupracujúce s americkými federálnymi agentúrami.
NIS2
NIS2 je smernica EÚ o bezpečnosti sietí a informačných systémov (2022/2502). Aether365 mapuje kontroly konfigurácie M365 na príslušné technické požiadavky NIS2, čím pomáha organizáciám v Európskej únii preukázať súlad s:
- Riadenie prístupu a autentifikácia (článok 21)
- Spracovanie incidentov a protokolovanie bezpečnostných udalostí
- Kontroly kontinuity činností
- Nastavenia bezpečnosti dodávateľského reťazca
Kategórie výsledkov
Každá kontrola vráti jeden z troch výsledkov:
| Výsledok | Význam |
|---|---|
| Úspešná | Kontrola je správne nakonfigurovaná |
| Neúspešná | Kontrola nie je splnená - odporúča sa náprava |
| Vynechaná | Kontrola sa nevzťahuje na konfiguráciu alebo licenciu vášho tenantu |
Označenia závažnosti
Okrem L1/L2 (CIS) má každá kontrola závažnosť priradenú systémom Aether365:
| Závažnosť | Popis |
|---|---|
| Kritická | Priame riziko zneužitia alebo bežný vektor útoku |
| Vysoká | Významné riziko, mala by byť promptne napravená |
| Stredná | Riziko existuje, ale je zmierňované inými kontrolami |
| Nízka | Osvedčený postup, nižšie bezprostredné riziko |
Pokyny na nápravu
Každá neúspešná kontrola obsahuje:
- Vysvetlenie v bežnom jazyku, prečo kontrola zlyhala
- Podrobné pokyny na opravu v administračnom centre Microsoft 365 alebo na portáli Azure
- Odkaz na oficiálnu dokumentáciu Microsoftu
Vyhlásenie o zodpovednosti
Výsledky skenov zhody Aether365 sú poskytované na informačné účely a na zlepšenie bezpečnosti. Ide o automatizované odporúčania založené na konfigurácii vášho Microsoft 365 - nie sú certifikáciou, osvedčením ani právnou zárukou súladu s akýmkoľvek frameworkom, štandardom či reguláciou (vrátane CIS, EIDSCA, CISA SCuBA, NIS2 alebo GDPR).
- Aether365 číta výlučne konfiguračné metadáta. Na získanie týchto výsledkov nespracúva, neukladá ani neanalyzuje váš firemný obsah, e-maily, súbory ani osobné údaje koncových používateľov a žiadne zákaznícke dáta sa nikdy neodosielajú do služieb AI ani strojového učenia.
- Úspešný výsledok znamená, že kontrola bola v čase skenu nakonfigurovaná podľa očakávania. Necertifikuje, že vaša organizácia je v súlade s akýmkoľvek zákonom alebo reguláciou.
- Za regulačný súlad vašej organizácie, za interpretáciu výsledkov skenov a konanie na ich základe, ako aj za akékoľvek pokuty, sankcie či postihy vyplývajúce z vašich regulačných povinností nesiete výhradnú zodpovednosť vy.
Pre formálnu certifikáciu alebo právne posúdenie vašej úrovne súladu sa obráťte na kvalifikovaného audítora alebo právneho poradcu.