Compliance Taramaları
Hazırlayan: Aether365 Ekibi Hedef Kitle: Güvenlik yöneticileri ve uyumluluk sorumluları Kapsam: Compliance tarama yürütmesi, kapsanan framework'ler ve sonuç yapısı
Compliance taramaları, Microsoft 365 tenant'ınızı yerleşik güvenlik kriterlerine göre değerlendirir. Her kriter bir güvenlik otoritesi tarafından yönetilir ve kuruluşların riski azaltmak için uygulaması gereken kontrolleri tanımlar.
Desteklenen Framework'ler
Kriter sürümleri
Aether365, her kriterin yayımlanan en güncel sürümünü daima takip eder. Compliance motoru, güvenlik otoriteleri yeni revizyonlar yayımladıkça otomatik olarak güncellenir; böylece taramalarınız, sizin herhangi bir işlem yapmanıza gerek kalmadan güncel standardı yansıtır. Aşağıdaki sürüm numaraları, bu belgenin yazıldığı tarihte geçerli olan temel sürümü gösterir.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Center for Internet Security tarafından yönetilen bu kriter, en yaygın kullanılan M365 güvenlik standardıdır. Kapsadığı alanlar:
- Hesap ve Kimlik Doğrulama - MFA gereksinimleri, parola politikaları, eski kimlik doğrulama
- Azure Active Directory / Entra ID - Koşullu erişim, rol atamaları, ayrıcalıklı erişim
- E-posta Güvenliği - Kimlik avı önleme, istenmeyen posta önleme, DKIM, DMARC, SPF
- Microsoft Teams - Dış erişim, konuk ayarları, toplantı politikaları
- Microsoft 365 Uygulamaları - Makro ayarları, eklenti politikaları
- Denetim Günlüğü - Posta kutusu denetimi, birleşik denetim günlüğü
CIS kontrolleri Seviye 1 (L1) veya Seviye 2 (L2) olarak etiketlenir:
| Seviye | Anlamı |
|---|---|
| L1 | Tüm kuruluşlar için önerilir. Operasyonlar üzerinde minimum etki. |
| L2 | Daha yüksek güvenlik, kullanılabilirliği etkileyebilir. Güvenlik açısından hassas ortamlar için önerilir. |
Kontrol kimlikleri CIS.M365.{bölüm}.{altbölüm}.{öğe} formatını izler - örneğin, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA, özellikle Entra ID (eski adıyla Azure Active Directory) yapılandırmasına odaklanır. CIS tarafından tam olarak ele alınmayan alanları kapsar:
- Kimlik doğrulama yöntemleri (SSPR, MFA kayıt politikaları)
- Koşullu erişim politikası boşlukları
- Privileged Identity Management (PIM) ayarları
- Token ömrü ve oturum kontrolleri
- Konuk ve dış kimlik ayarları
CISA SCuBA M365 Güvenlik Taban Çizgisi
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından yayınlanan SCuBA (Secure Cloud Business Applications), M365 için federal hükümetin güvenlik taban çizgisini tanımlar. Ürüne göre yapılandırılmıştır:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online ve OneDrive
- Microsoft 365 Apps
SCuBA, özellikle düzenlenmiş sektörlerdeki veya ABD federal ajanslarıyla çalışan kuruluşlar için geçerlidir.
NIS2
NIS2, AB Ağ ve Bilgi Sistemleri Direktifi'dir (2022/2502). Aether365, M365 yapılandırma kontrollerini ilgili NIS2 teknik gereksinimlerine eşler ve Avrupa Birliği'ndeki kuruluşların şu konularda uyumluluğu göstermesine yardımcı olur:
- Erişim kontrolü ve kimlik doğrulama (Madde 21)
- Olay müdahalesi ve güvenlik olayı günlüğü
- İş sürekliliği kontrolleri
- Tedarik zinciri güvenlik ayarları
Sonuç Kategorileri
Her kontrol üç sonuçtan birini döndürür:
| Sonuç | Anlamı |
|---|---|
| Geçti | Kontrol doğru yapılandırılmış |
| Başarısız | Kontrol karşılanmıyor - düzeltme önerilir |
| Atlandı | Kontrol, tenant'ınızın yapılandırmasına veya lisansına uygulanabilir değil |
Önem Derecesi Etiketleri
L1/L2'ye (CIS) ek olarak, her kontrole Aether365 tarafından bir önem derecesi atanır:
| Önem Derecesi | Açıklama |
|---|---|
| Kritik | Doğrudan istismar riski veya yaygın saldırı vektörü |
| Yüksek | Önemli risk, derhal düzeltilmeli |
| Orta | Risk mevcut ancak diğer kontrollerle azaltılmış |
| Düşük | En iyi uygulama, düşük acil risk |
Düzeltme Rehberliği
Her başarısız kontrol şunları içerir:
- Kontrolün neden başarısız olduğuna dair sade dilde bir açıklama
- Microsoft 365 yönetici merkezinde veya Azure portalında düzeltmek için adım adım talimatlar
- Resmi Microsoft belgelerine bir bağlantı
Sorumluluk Reddi
Aether365 compliance tarama sonuçları, bilgilendirme ve güvenlik iyileştirme amacıyla sunulur. Bunlar, Microsoft 365 yapılandırmanıza dayalı otomatik önerilerdir: herhangi bir framework, standart veya düzenlemeye (CIS, EIDSCA, CISA SCuBA, NIS2 veya GDPR dahil) uyumluluğa dair bir sertifika, beyan ya da hukuki garanti değildir.
- Aether365 yalnızca yapılandırma meta verilerini okur. Bu sonuçları üretmek için iş içeriğinizi, e-postalarınızı, dosyalarınızı veya son kullanıcı kişisel verilerinizi işlemez, saklamaz ya da analiz etmez; hiçbir müşteri verisi AI veya makine öğrenimi hizmetlerine gönderilmez.
- Geçti sonucu, bir kontrolün tarama anında beklendiği gibi yapılandırıldığı anlamına gelir. Kuruluşunuzun herhangi bir yasa veya düzenlemeye uyumlu olduğunu belgelemez.
- Kuruluşunuzun düzenleyici uyumluluğundan, tarama sonuçlarını yorumlayıp bunlara göre hareket etmekten ve düzenleyici yükümlülüklerinizden doğan her türlü para cezası, yaptırım veya müeyyideden yalnızca siz sorumlusunuz.
Resmi bir sertifikasyon veya uyumluluk durumunuzun hukuki değerlendirmesi için nitelikli bir denetçiye ya da hukuk danışmanına başvurun.