Compliance-skanningar
Underhålls av: Aether365 Team Målgrupp: Säkerhetsadministratörer och compliance-ansvariga Omfattning: Compliance-skanningens genomförande, ramverk som täcks och resultatstruktur
Compliance-skanningar utvärderar din Microsoft 365-tenant mot etablerade säkerhetsstandarder. Varje standard underhålls av en säkerhetsorganisation och definierar kontroller som organisationer bör implementera för att minska risk.
Ramverk som stöds
Benchmark-versioner
Aether365 följer alltid den senast publicerade versionen av varje benchmark. Compliance-motorn uppdateras automatiskt när säkerhetsmyndigheter släpper nya revisioner, så att dina skanningar återspeglar den aktuella standarden utan att du behöver göra något. Versionsnumren nedan anger den baslinje som gällde vid tidpunkten för det här dokumentet.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Underhålls av Center for Internet Security, denna standard är den mest använda M365-säkerhetsstandarden. Den täcker:
- Konto och autentisering - MFA-krav, lösenordspolicyer, äldre autentisering
- Azure Active Directory / Entra ID - Villkorsstyrd åtkomst, rolltilldelningar, privilegierad åtkomst
- E-postsäkerhet - Anti-phishing, anti-spam, DKIM, DMARC, SPF
- Microsoft Teams - Extern åtkomst, gästinställningar, mötespolicyer
- Microsoft 365-appar - Makroinställningar, tilläggspolicyer
- Granskningsloggning - Postlådegranskningslogg, enhetlig granskningslogg
CIS-kontroller märks Level 1 (L1) eller Level 2 (L2):
| Nivå | Betydelse |
|---|---|
| L1 | Rekommenderat för alla organisationer. Minimal påverkan på verksamheten. |
| L2 | Högre säkerhet, kan påverka användbarhet. Rekommenderat för säkerhetskänsliga miljöer. |
Kontroll-ID:n följer formatet CIS.M365.{section}.{subsection}.{item} - till exempel CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA fokuserar specifikt på Entra ID (tidigare Azure Active Directory)-konfiguration. Det täcker områden som inte fullt adresseras av CIS, inklusive:
- Autentiseringsmetoder (SSPR, MFA-registreringspolicyer)
- Luckor i policyer för villkorsstyrd åtkomst
- Inställningar för Privileged Identity Management (PIM)
- Token-livslängd och sessionskontroller
- Gäst- och externa identitetsinställningar
CISA SCuBA M365 Security Baseline
Publicerad av U.S. Cybersecurity and Infrastructure Security Agency, definierar SCuBA (Secure Cloud Business Applications) den federala regeringens säkerhetsstandard för M365. Den är strukturerad per produkt:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online och OneDrive
- Microsoft 365 Apps
SCuBA är särskilt relevant för organisationer i reglerade branscher eller de som samarbetar med amerikanska federala myndigheter.
NIS2
NIS2 är EU:s direktiv om nätverks- och informationssäkerhet (2022/2502). Aether365 mappar M365-konfigurationskontroller till relevanta tekniska NIS2-krav, vilket hjälper organisationer inom Europeiska unionen att visa efterlevnad av:
- Åtkomstkontroll och autentisering (Artikel 21)
- Incidenthantering och loggning av säkerhetshändelser
- Kontroller för verksamhetskontinuitet
- Säkerhetsinställningar för leverantörskedjan
Resultatkategorier
Varje kontroll returnerar ett av tre resultat:
| Resultat | Betydelse |
|---|---|
| Godkänd | Kontrollen är korrekt konfigurerad |
| Underkänd | Kontrollen uppfylls inte - åtgärd rekommenderas |
| Överhoppad | Kontrollen är inte tillämplig på din tenants konfiguration eller licens |
Allvarlighetsetiketter
Utöver L1/L2 (CIS) har varje kontroll en allvarlighetsgrad tilldelad av Aether365:
| Allvarlighet | Beskrivning |
|---|---|
| Kritisk | Direkt exploateringsrisk eller vanlig attackvektor |
| Hög | Betydande risk, bör åtgärdas snarast |
| Medel | Risk finns men mildras av andra kontroller |
| Låg | Bästa praxis, lägre omedelbar risk |
Åtgärdsvägledning
Varje underkänd kontroll inkluderar:
- En klarspråkig förklaring av varför kontrollen underkändes
- Steg-för-steg-instruktioner för att åtgärda den i Microsoft 365 admin center eller Azure-portalen
- En länk till den officiella Microsoft-dokumentationen
Ansvarsfriskrivning
Resultaten från Aether365 compliance-skanningar tillhandahålls i informations- och säkerhetsförbättringssyfte. Det rör sig om automatiserade rekommendationer baserade på din Microsoft 365-konfiguration - de utgör inte någon certifiering, attestering eller juridisk garanti för efterlevnad av något ramverk, någon standard eller någon förordning (inklusive CIS, EIDSCA, CISA SCuBA, NIS2 eller GDPR).
- Aether365 läser enbart konfigurationsmetadata. Det behandlar, lagrar eller analyserar inte ditt verksamhetsinnehåll, din e-post, dina filer eller slutanvändarnas personuppgifter för att ta fram dessa resultat, och ingen kunddata skickas någonsin till AI- eller maskininlärningstjänster.
- Ett godkänt resultat innebär att en kontroll var konfigurerad som förväntat vid skanningstillfället. Det certifierar inte att din organisation efterlever någon lag eller förordning.
- Du är ensam ansvarig för din organisations regelefterlevnad, för att tolka och agera på skanningsresultaten samt för eventuella böter, viten eller sanktioner som uppstår till följd av dina rättsliga skyldigheter.
För en formell certifiering eller en juridisk bedömning av din efterlevnad bör du rådfråga en kvalificerad revisor eller juridisk rådgivare.