Skeniranja skladnosti
Skeniranja skladnosti ovrednotijo vašega najemnika Microsoft 365 glede na uveljavljene varnostne standarde. Vsak standard vzdržuje varnostna avtoriteta in določa kontrole, ki bi jih morale organizacije implementirati za zmanjšanje tveganja.
Podprti okviri
Različice merila uspešnosti
Aether365 vedno sledi najnovejši objavljeni različici vsakega merila uspešnosti. Mehanizem za skladnost se samodejno posodablja, ko varnostne avtoritete izdajo nove revizije, zato vaša skeniranja odražajo veljavni standard brez kakršnega koli posega z vaše strani. Spodaj navedene številke različic označujejo izhodišče, ki velja v času pisanja.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Vzdržuje ga Center for Internet Security in je najbolj razširjen varnostni standard za M365. Pokriva:
- Račun in preverjanje pristnosti - Zahteve za MFA, politike gesel, zastarelo preverjanje pristnosti
- Azure Active Directory / Entra ID - Pogojni dostop, dodelitve vlog, privilegiran dostop
- Varnost e-pošte - Zaščita pred lažnim predstavljanjem, zaščita pred vsiljeno pošto, DKIM, DMARC, SPF
- Microsoft Teams - Zunanji dostop, nastavitve za goste, politike sestankov
- Aplikacije Microsoft 365 - Nastavitve makrov, politike dodatkov
- Revizijsko beleženje - Revizija poštnih predalov, poenoteni revizijski dnevnik
Kontrole CIS so označene kot raven 1 (L1) ali raven 2 (L2):
| Raven | Pomen |
|---|---|
| L1 | Priporočeno za vse organizacije. Minimalen vpliv na delovanje. |
| L2 | Višja varnost, lahko vpliva na uporabnost. Priporočeno za varnostno občutljiva okolja. |
Identifikatorji preverjanj sledijo formatu CIS.M365.{razdelek}.{podrazdelek}.{element} - na primer CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA se osredotoča posebej na konfiguracijo Entra ID (prej Azure Active Directory). Pokriva področja, ki jih CIS ne obravnava v celoti, vključno z:
- Metode preverjanja pristnosti (registracija SSPR, politike MFA)
- Vrzeli v politikah pogojnega dostopa
- Nastavitve upravljanja privilegiranega dostopa (PIM)
- Življenjska doba žetonov in kontrole sej
- Nastavitve za goste in zunanje identitete
CISA SCuBA M365 varnostni standard
Objavlja ga Agencija za kibernetsko varnost in infrastrukturno varnost ZDA in SCuBA (Secure Cloud Business Applications) določa varnostni standard zvezne vlade za M365. Strukturiran je po izdelku:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online in OneDrive
- Microsoft 365 Apps
SCuBA je posebej relevanten za organizacije v reguliranih panogah ali tiste, ki sodelujejo z zveznimi agencijami ZDA.
NIS2
NIS2 je Direktiva EU o varnosti omrežij in informacijskih sistemov (2022/2502). Aether365 preslika kontrole konfiguracije M365 v ustrezne tehnične zahteve NIS2 in pomaga organizacijam v Evropski uniji dokazovati skladnost z:
- Nadzorom dostopa in preverjanjem pristnosti (člen 21)
- Obvladovanjem incidentov in beleženjem varnostnih dogodkov
- Kontrolami neprekinjnega poslovanja
- Nastavitvami varnosti dobavne verige
Kategorije rezultatov
Vsako preverjanje vrne enega od treh rezultatov:
| Rezultat | Pomen |
|---|---|
| Uspešno | Kontrola je pravilno konfigurirana |
| Neuspešno | Kontrola ni izpolnjena - priporočeno odpravljanje |
| Preskočeno | Preverjanje ni uporabno za konfiguracijo ali licenco vašega najemnika |
Oznake resnosti
Poleg L1/L2 (CIS) ima vsako preverjanje tudi oznako resnosti, ki jo dodeli Aether365:
| Resnost | Opis |
|---|---|
| Kritična | Neposredno tveganje izkoriščanja ali pogost vektor napada |
| Visoka | Pomembno tveganje, ki ga je treba hitro odpraviti |
| Srednja | Tveganje obstaja, vendar ga omilijo druge kontrole |
| Nizka | Dobra praksa, nižje takojšnje tveganje |
Navodila za odpravljanje
Vsako neuspešno preverjanje vključuje:
- Pojasnilo v navadnem jeziku, zakaj preverjanje ni uspelo
- Navodila po korakih za odpravo v skrbniškem središču Microsoft 365 ali portalu Azure
- Povezavo do uradne Microsoftove dokumentacije
Pravno obvestilo
Rezultati skeniranj skladnosti Aether365 so na voljo za informativne namene in za izboljšanje varnosti. Gre za samodejna priporočila na podlagi vaše konfiguracije Microsoft 365 - niso certifikat, potrdilo ali pravno jamstvo skladnosti s katerim koli okvirom, standardom ali predpisom (vključno s CIS, EIDSCA, CISA SCuBA, NIS2 ali GDPR).
- Aether365 bere izključno konfiguracijske metapodatke. Za pripravo teh rezultatov ne obdeluje, ne shranjuje in ne analizira vaše poslovne vsebine, e-pošte, datotek ali osebnih podatkov končnih uporabnikov, prav tako pa se nobeni podatki strank nikoli ne pošljejo storitvam AI ali strojnega učenja.
- Uspešen rezultat pomeni, da je bila kontrola ob času skeniranja konfigurirana po pričakovanjih. Ne potrjuje, da je vaša organizacija skladna s katerim koli zakonom ali predpisom.
- Za skladnost vaše organizacije s predpisi, za razlago rezultatov skeniranja in ukrepanje na njihovi podlagi ter za morebitne globe, kazni ali sankcije, ki izhajajo iz vaših regulativnih obveznosti, ostajate odgovorni izključno sami.
Za uradno certificiranje ali pravno oceno vaše skladnosti se posvetujte z usposobljenim revizorjem ali pravnim svetovalcem.