Compliance-ramverk
Underhålls av: Aether365 Team Målgrupp: Säkerhetsadministratörer och compliance-ansvariga Omfattning: CIS, EIDSCA, CISA SCuBA och NIS2 - ramverksbeskrivningar
Aether365 utvärderar din Microsoft 365-tenant mot fyra etablerade säkerhetsramverk. Varje ramverk underhålls av en annan organisation och har olika fokusområde, omfattning och målgrupp.
CIS Microsoft 365 Foundations Benchmark
Underhålls av: Center for Internet Security (CIS) Version: v3.0 Målgrupp: Alla organisationer som använder Microsoft 365 Omfattning: Kontosäkerhet, Entra ID, Exchange, Teams, SharePoint, granskningsloggning
CIS är den mest använda M365-säkerhetsstandarden. Den definierar en tydlig, handlingsbar uppsättning kontroller, var och en med detaljerad vägledning för implementering. Kontroller kategoriseras som Level 1 eller Level 2:
| Nivå | Beskrivning | När den tillämpas |
|---|---|---|
| L1 | Grundläggande kontroller med minimal operativ påverkan | Alla organisationer |
| L2 | Striktare kontroller som kan påverka användarupplevelsen | Säkerhetskänsliga miljöer |
Kontroll-ID-format: CIS.M365.{section}.{subsection}.{item} - till exempel CIS.M365.1.1.1
CIS-kontroller täcker avsnitt 1 till 9 i standarden, inklusive:
- Avsnitt 1: Identitets- och åtkomsthantering
- Avsnitt 2: Microsoft Entra ID
- Avsnitt 3: Microsoft 365-appar
- Avsnitt 4: Microsoft Teams
- Avsnitt 5: E-postsäkerhet (Exchange Online)
- Avsnitt 6: SharePoint Online
- Avsnitt 7: OneDrive
- Avsnitt 8: Microsoft Defender
- Avsnitt 9: Granskningsloggning
EIDSCA (Entra ID Security Config Analyzer)
Underhålls av: Microsoft och öppen källkodsgemenskapen Målgrupp: Organisationer med betydande Entra ID-användning Omfattning: Djup Entra ID-konfiguration
EIDSCA fokuserar specifikt på Entra ID (tidigare Azure Active Directory) och täcker områden som CIS inte adresserar på samma detaljnivå. Nyckelområden:
- Registrering av autentiseringsmetoder och SSPR-policyer
- Luckor i villkorsstyrd åtkomst och täckning av grundläggande policyer
- Konfiguration av Privileged Identity Management (PIM)
- Token-livslängd och sessionskontroller
- Gästanvändar- och B2B-samarbetsinställningar
- Förtroendesinställningar för externa identitetsleverantörer
EIDSCA är särskilt användbart om din organisation i hög grad förlitar sig på Entra ID-funktioner som Privileged Identity Management, externt samarbete eller anpassade autentiseringsflöden.
Kontroll-ID-format: EIDSCA.{category}{number} - till exempel EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Underhålls av: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Version: Aktuell publicerad standard Målgrupp: Amerikanska federala myndigheter och organisationer som samarbetar med dem; reglerade branscher Omfattning: Hela M365-produktsviten
SCuBA (Secure Cloud Business Applications) är den amerikanska federala regeringens säkerhetsstandard för molnbaserade produktivitetsplattformar. Den är strukturerad per M365-produkt snarare än per kontrollkategori:
| Produkt | Kontrollerna täcker |
|---|---|
| Microsoft Entra ID | Identitets- och åtkomsthantering |
| Microsoft Defender for Office 365 | Policyer för hotskydd |
| Exchange Online | E-posttransport, anti-phishing, kryptering |
| Microsoft Teams | Extern åtkomst, mötespolicyer |
| SharePoint Online och OneDrive | Delning, åtkomstkontroll |
| Microsoft 365 Apps | Makropolicyer, tillägghantering |
| Power Platform | Kopplarpolicyer (endast Enterprise) |
SCuBA är relevant bortom amerikanska federala miljöer. Dess tydliga policyformuleringar och automatiserade testformat gör den till en användbar standard för alla organisationer som söker rigorös, oberoende underhållen vägledning.
Kontroll-ID-format: MS.{PRODUCT}.{number}.{subnumber} - till exempel MS.AAD.1.1
NIS2
Underhålls av: Europeiska unionen Direktiv: EU 2022/2502 (NIS2) Målgrupp: Organisationer verksamma i EU, särskilt operatörer av väsentliga och viktiga entiteter Omfattning: Tekniska och organisatoriska åtgärder enligt Artikel 21
NIS2 är inte en teknisk standard - det är ett reglerande direktiv. Aether365 mappar M365-konfigurationskontroller till de tekniska kraven som NIS2 föreskriver enligt Artikel 21, som kräver att organisationer vidtar lämpliga åtgärder för att hantera cybersäkerhetsrisker.
NIS2-kontroller i Aether365 fokuserar på:
| NIS2-område | M365-kontroller |
|---|---|
| Åtkomstkontroll och autentisering | MFA, privilegierad åtkomst, villkorsstyrd åtkomst |
| Incidenthantering | Granskningsloggning, varningspolicyer, säkerhetshändelser |
| Verksamhetskontinuitet | Säkerhetskopiering och återställning, datalagring |
| Leverantörskedjesäkerhet | Samtycke för appar, inställningar för externa kopplingar |
| Grundläggande cyberhygien | Äldre autentisering, patchrelaterade inställningar |
NIS2 Compliance-omfattning
Aether365 täcker de M365-specifika tekniska kontrollerna som är relevanta för NIS2. Fullständig NIS2-efterlevnad kräver ett bredare program av tekniska och organisatoriska åtgärder utöver din M365-konfiguration. Aether365-resultat utgör inte en NIS2-efterlevnadscertifiering.
Ramverksjämförelse
| Dimension | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Organisation | CIS | Öppen källkod / Microsoft | US CISA | EU-förordning |
| Fokus | Bred M365 | Entra ID-djup | Produkt-för-produkt | Riskbaserad reglering |
| Detaljnivå | Hög | Mycket hög | Hög | Måttlig |
| Lämplig för EU-organisationer | Ja | Ja | Ja | Obligatoriskt |
| Lämplig för amerikanska federala | Ja | Ja | Obligatoriskt | Ej tillämpligt |
| Lämplig för alla organisationer | Ja | Ja | Ja | Om EU-reglerad |
| Antal kontroller i Aether365 | ~60 | ~40 | ~50 | ~30 |
Alla ramverk körs som del av en Compliance-skanning. Du kan inte välja enskilda ramverk per skanning - alla tillämpliga kontroller körs tillsammans och resultaten taggas per ramverk för filtrering.