Compliance сканування
Compliance сканування оцінюють ваш Microsoft 365 tenant за встановленими еталонами безпеки. Кожен еталон підтримується організацією з питань безпеки та визначає контролі, які організації повинні впровадити для зменшення ризику.
Підтримувані фреймворки
Версії еталонів
Aether365 завжди відстежує найновішу опубліковану версію кожного еталона. Механізм оцінки compliance оновлюється автоматично щойно організації з питань безпеки випускають нові редакції, тож ваші сканування відображають чинний стандарт без жодних дій з вашого боку. Номери версій нижче вказують базовий рівень, що діє на момент написання.
CIS Microsoft 365 Foundations Benchmark (v5.0)
Підтримується Center for Internet Security, цей еталон є найбільш використовуваним стандартом безпеки M365. Охоплює:
- Облікові записи та автентифікація - вимоги MFA, політики паролів, застаріла автентифікація
- Azure Active Directory / Entra ID - умовний доступ, призначення ролей, привілейований доступ
- Безпека електронної пошти - антифішинг, антиспам, DKIM, DMARC, SPF
- Microsoft Teams - зовнішній доступ, гостьові налаштування, політики нарад
- Microsoft 365 Apps - налаштування макросів, політики надбудов
- Журналювання аудиту - аудит поштових скриньок, уніфікований журнал аудиту
Контролі CIS мають мітку Level 1 (L1) або Level 2 (L2):
| Рівень | Значення |
|---|---|
| L1 | Рекомендовано для всіх організацій. Мінімальний вплив на роботу. |
| L2 | Вищий рівень безпеки, може впливати на зручність. Рекомендовано для середовищ з підвищеною безпекою. |
Ідентифікатори перевірок мають формат CIS.M365.{розділ}.{підрозділ}.{пункт} - наприклад, CIS.M365.1.1.1.
EIDSCA (Entra ID Security Config Analyzer)
EIDSCA зосереджується саме на конфігурації Entra ID (раніше Azure Active Directory). Охоплює сфери, не повністю розглянуті CIS, зокрема:
- Методи автентифікації (SSPR, політики реєстрації MFA)
- Прогалини в політиках умовного доступу
- Налаштування Privileged Identity Management (PIM)
- Час дії токенів та контроль сесій
- Гостьові користувачі та налаштування зовнішніх ідентифікацій
CISA SCuBA M365 Security Baseline
Опублікований Агентством кібербезпеки та безпеки інфраструктури США, SCuBA (Secure Cloud Business Applications) визначає базовий рівень безпеки федерального уряду для M365. Структурований за продуктами:
- Microsoft Entra ID (AAD)
- Microsoft Defender for Office 365
- Exchange Online
- Microsoft Teams
- SharePoint Online та OneDrive
- Microsoft 365 Apps
SCuBA особливо актуальний для організацій у регульованих галузях або тих, що працюють з федеральними агентствами США.
NIS2
NIS2 - це Директива ЄС про мережеві та інформаційні системи (2022/2502). Aether365 зіставляє контролі конфігурації M365 з відповідними технічними вимогами NIS2, допомагаючи організаціям в Європейському Союзі демонструвати відповідність:
- Контроль доступу та автентифікація (Стаття 21)
- Обробка інцидентів та журналювання подій безпеки
- Контролі безперервності бізнесу
- Налаштування безпеки ланцюга постачання
Категорії результатів
Кожна перевірка повертає один із трьох результатів:
| Результат | Значення |
|---|---|
| Пройдено | Контроль правильно налаштований |
| Не пройдено | Контроль не виконано - рекомендується усунення |
| Пропущено | Перевірка не застосовна до конфігурації або ліцензії вашого tenant |
Мітки критичності
Окрім L1/L2 (CIS), кожній перевірці присвоюється критичність від Aether365:
| Критичність | Опис |
|---|---|
| Критичний | Прямий ризик експлуатації або поширений вектор атаки |
| Високий | Значний ризик, потребує оперативного усунення |
| Середній | Ризик існує, але пом'якшений іншими контролями |
| Низький | Найкраща практика, нижчий безпосередній ризик |
Інструкції з усунення
Кожна непройдена перевірка включає:
- Зрозуміле пояснення, чому перевірка не пройдена
- Покрокові інструкції для виправлення в центрі адміністрування Microsoft 365 або порталі Azure
- Посилання на офіційну документацію Microsoft
Відмова від відповідальності
Результати compliance сканувань Aether365 надаються з інформаційною метою та для покращення безпеки. Це автоматизовані рекомендації, що ґрунтуються на конфігурації вашого Microsoft 365 - вони не є сертифікацією, атестацією чи юридичною гарантією відповідності будь-якому фреймворку, стандарту чи нормативному акту (зокрема CIS, EIDSCA, CISA SCuBA, NIS2 або GDPR).
- Aether365 зчитує лише метадані конфігурації. Він не обробляє, не зберігає та не аналізує ваш бізнес-контент, електронну пошту, файли чи персональні дані кінцевих користувачів для формування цих результатів, і жодні дані клієнтів ніколи не передаються сервісам AI чи машинного навчання.
- Пройдений результат означає, що контроль було налаштовано як належить на момент сканування. Він не засвідчує, що ваша організація відповідає будь-якому закону чи нормативному акту.
- Ви несете одноосібну відповідальність за нормативну відповідність вашої організації, за тлумачення результатів сканувань і дії на їх основі, а також за будь-які штрафи, стягнення чи санкції, що виникають із ваших нормативних зобов'язань.
Для офіційної сертифікації або юридичної оцінки вашого рівня відповідності зверніться до кваліфікованого аудитора чи юридичного консультанта.