Lisa M1: M365 haldus (tegevuste ja töömahu kirjeldus)

M365 haldus ja  ulatus

Haldusteenus katab Microsoft 365 E5 pilverentniku ning sellega seotud teenuste (Intune Endpoint Manager, Microsoft Defender for Endpoint ja Microsoft Defender for Office 365) haldamise.

Alljärgnevalt on kirjeldatud teenuse raames teostatavad tegevused kolmes kategoorias:

1) rutiinsed ajastatud toimingud
2) intsidentidele ja teavitustele reageerimine
3) teenuspäringute täitmine.

Iga tegevuse juures on toodud lühikirjeldus, oodatav tulemus ning hinnanguline ajakulu.

1. Rutiinsed tegevused

  • Turvaseadete pidev seire.

Kirjeldus: Microsoft 365 rentniku turvaseadete ja logide regulaarne jälgimine. Igapäevaselt vaadatakse üle turvakeskuse juhtpaneelid ning analüüsitakse logisid, et tuvastada kõrvalekaldeid või volitamata muudatusi turbekonfiguratsioonides. Eesmärk on proaktiivselt avastada võimalikke probleeme enne nende eskaleerumist, lähtudes parimatest tavadest (nt daily dashboard reviews ja proactive monitoring) .

Oodatav tulemus: Kriitilised turvaseaded (nagu mitmikautentimine, tingimuslik ligipääs jms) püsivad pidevalt nõuetekohaselt rakendatuna. Igasugused kõrvalekalded turvapoliitikates avastatakse varakult, mis aitab ennetada turvaintsidente. Organisatsiooni pilveteeress on pideva järelevalve all ning vastab Microsofti soovituslikele turvapraktikatele.

Soovituslik tööaja kulu: ~15 min päevas (ca 5 tundi kuus).

  • Pahavara ja ohuteavituste jälgimine.

Kirjeldus: Microsoft Defender for Endpointi ja Defender for Office 365 turbehoiatuste ja ründeindikaatorite igapäevane monitooring. Turvameeskond jälgib reaalajas süsteemi genereeritavaid teavitusi (nt pahavara tuvastused, kahtlased sisselogimised) ning uurib kõrgema ohuastmega juhtumeid viivitamata. Vajadusel algatatakse automaatsed või käsitsi vastumeetmed (näiteks nakatunud seadme isoleerimine või pahavara eemaldamine) .

Oodatav tulemus: Küberohud ja intsidentide algfaasid tuvastatakse ning peatatakse kiiresti, enne kui need jõuavad laiemalt mõju avaldada. Kõik tuvastatud pahavara ja ründeindikaatorid saavad õigeaegse lahenduse – süsteem eemaldab või karantiini võtab ohu ning administraatorid viivad lõpule täiendavad turvameetmed. Tulemuseks on turvaline ja puhas töökeskkond, kus riskid on viidud miinimumini.

Soovituslik tööaja kulu: ~15–30 min päevas (umbes 5–10 tundi kuus, sõltuvalt tuvastatud ohtude hulgast).

  • Microsoft Secure Score haldus.

Kirjeldus: Microsoft Secure Score’i (turbetulemusnäitaja) regulaarne jälgimine ja parendamine. Secure Score on Microsoft 365 turbekeskuse tööriist, mis mõõdab organisatsiooni turvataset ning annab soovitusi paranduste rakendamiseks . Haldusteenuse raames vaadatakse Secure Score üle vähemalt kord kuus ning koostatakse plaan soovituslike parenduste elluviimiseks. Vajadusel tehakse konfiguratsioonimuudatusi (nt lubatakse mõni turvafunktsioon) koostöös kliendiga, et skoori tõsta .

Oodatav tulemus: Organisatsiooni turvapoliitikad ja -seaded paranevad järjepidevalt vastavalt Microsofti parimatele praktikatele. Secure Score’i tõus näitab tugevat turvataset – kõrge skoor peegeldab, et soovitatud turvameetmed on rakendatud . Pidev Secure Score juhtimine vähendab haavatavusi ning tagab parema kaitse võimalike rünnete vastu.

Soovituslik tööaja kulu: ~1 tund kuus (paranduste planeerimine ja rakendamine).

  • Microsoft Compliance Score haldus.

Kirjeldus: Microsoft Purview Compliance Manageri vastavusskoori (Compliance Score) jälgimine ja parenduste koordineerimine. Compliance Score annab hinnangu, mil määral on rentniku sätted ja protsessid vastavuses regulatiivsete nõuetega. Igakuiselt või kvartaliti vaadatakse üle vastavusskoori Improvement Actions soovitused ning tehakse vajalikud sammud (nt poliitikate või turvameetmete juurutamine) skoori parandamiseks . Vajadusel kohandatakse vastavusnõudeid organisatsiooni eripärale ning teostatakse siseauditid.

Oodatav tulemus: Organisatsiooni Microsoft 365 keskkond vastab üha paremini infoturbestandarditele ja regulatiivsetele nõuetele. Compliance Score paraneb ajas – tuvastatud puudujäägid saavad adresseeritud ning rakendatakse leevendavaid meetmeid. See tagab, et ettevõtte pilveteenuse kasutus on kooskõlas nõuete ja parimate tavadega, vähendades nõuetele mittevastavuse riske.

Soovituslik tööaja kulu: ~1–2 tundi kuus (olenevalt nõuete muudatustest ja parendusmeetmete hulgast).

  • Kasutajakontode ja õiguste audit.

Kirjeldus: Rentniku kasutajakontode, ligipääsuõiguste ja administraatorrollide regulaarne ülevaatus (soovitatavalt igakuiselt, vähemalt kvartalis). Haldusteenus kontrollib, et kasutajatel on ainult vajalikud õigused (least privilege põhimõte) ning tuvastab kontod, mida pole pikka aega kasutatud või mis tuleks eemaldada/peatada. Eriti pööratakse tähelepanu kõrgendatud õigustega kontodele – vaadatakse üle globaaladministraatorite loend, rollimäärangud ja külaliskasutajad, et veenduda nende jätkuvas vajaduses .

Oodatav tulemus: Kasutajate juurdepääsud on ajakohased ja vastavad organisatsiooni tegelikele vajadustele. Mittevajalikud või ohtlikult laiad õigused on eemaldatud (nt töötajate rollimuutuste või lahkumiste korral võetakse liigsed õigused ära), mis vähendab andmete leket ja kuritarvituse riski. Regulaarne audit tagab, et ainult õiged inimesed omavad juurdepääsu kriitilistele ressurssidele, nagu Microsoft soovitab .

Soovituslik tööaja kulu: ~2 tundi kuus (sh igakuised kontrollid; süvendatud audit kord kvartalis ~4 tundi kvartalis).

  • Seadmete vastavus- ja tervisekontroll (Intune).

Kirjeldus: Intune Endpoint Manageri abil hallatavate seadmete vastavuse (compliance) poliitikate jälgimine ning seadmehalduse korra kontroll. Iganädalaselt vaadatakse Intune’i raportitest üle seadmete olek – tuvastatakse mittesobivad (non-compliant) seadmed ning uuritakse mittevastavuse põhjuseid. Vajadusel rakendatakse parandusmeetmeid (nt seadmete uuendamine, kasutajate teavitamine nõuete rikkumisest). Samuti kontrollitakse, et Intune’i poliitikad (näiteks paroolinõuded, krüpteering, viirusetõrje olek) on asjakohased ja ajakohased. Regulaarne raportite ülevaatus annab ülevaate seadmepargist ning võimaldab proaktiivset haldust .

Oodatav tulemus: Kõik organisatsiooni seadmed, mis Microsoft 365 teenustele ligi pääsevad, vastavad kehtestatud turvastandarditele. Mittesobivate seadmete hulk on viidud miinimumini – võimalikud probleemid (nt aegunud operatsioonisüsteem, puuduv krüpteering) lahendatakse kiiresti või seadmetele piiratakse juurdepääsu seni, kuni nõuded on täidetud. Regulaarne kontroll tagab, et ettevõtte andmetele pääsevad ligi ainult turvalised ja nõuetele vastavad seadmed .

Soovituslik tööaja kulu: ~30–60 min nädalas (u 2–4 tundi kuus, sõltuvalt seadmepargi suurusest).

  • Microsofti teenuse teadete ja tervise kontroll.

Kirjeldus: Microsoft 365 halduskeskuse Message Centeri teadete ning teenuste Service Health (teenuse tervise) paneeli jälgimine iganädalaselt. Administraator kontrollib uusi teateid, mis puudutavad süsteemi muudatusi, uusi funktsioone või vajalikke admini tegevusi, ning planeerib vastavad sammud (näiteks funktsiooni väljalülitamine või kasutajate teavitamine enne muutust). Samuti jälgitakse pilveteenuste terviseseisundit – kui Microsoft annab märku mõnest häirest või hooldustööst, registreeritakse see ja hinnatakse võimalikku mõju kliendile. Teadete halduse käigus hallatakse Message Centeri kirjeid ning vajadusel konsulteeritakse kliendiga oluliste muudatuste osas .

Oodatav tulemus: Ettevõte on kursis Microsoft 365 platvormi arengute ja muudatustega ning suudab nendega õigeaegselt kohanduda. Ühtegi kriitilist Microsofti teadet (nt turvavärskendus või funktsiooni deprekatsioon) ei jäeta tähelepanuta – vajalikud toimingud tehakse õigeaegselt, vältides teenusekatkestusi või turvariske. Samuti annab teenuse tervisekontroll varajase hoiatuse võimalikest üldistest pilveteenuse probleemidest, võimaldades IT-personalil kasutajaid ennetavalt teavitada või ajutisi lahendusi leida.

Soovituslik tööaja kulu: ~30 min nädalas (u 2 tundi kuus).

  • Microsoft 365 rentniku konfiguratsiooni ülevaatus (kvartaalne).

Kirjeldus: Iga kvartal teostatakse põhjalikum M365 tenant’i konfiguratsiooni audit, et hinnata keskkonna üldist vastavust parimatele tavadele. See hõlmab turbesätete, ligipääsupiirangute, vastavuspoliitikate ning muude oluliste seadistuste läbi vaatamist tervikpildis. Ülevaatuse käigus võrreldakse rentniku seadeid Microsofti uusimate soovitustega ning tuvastatakse võimalikud parendus- või optimeerimiskohad (nt lubada uus turbefunktsioon, korrigeerida andmete säilituspoliitikaid jm). Vajadusel koostatakse tegevusplaan muudatuste rakendamiseks.

Oodatav tulemus: Rentnik on seadistatud optimaalselt ja turvaliselt – konfiguratsiooniarvustuse tulemusel on teada, kas kusagil on hälbeid standardist või võimalusi täiendavaks turbekõvendamiseks. Halduspartner annab soovitused konfiguratsiooni parandamiseks ning aitab neid ellu viia, hoides keskkonna kooskõlas uuenevate turbestandarditega. Microsofti tööriistad (nt Secure Score ja Compliance Manager) annavad pidevalt sisendit konfiguratsiooni täiustamiseks , ning kvartaalne ülevaatus tagab, et need võimalused on rakendatud.

Soovituslik tööaja kulu: ~2–4 tundi kvartalis (sõltuvalt keskkonna suurusest ja tehtavate muudatuste mahust).

  • Kvartaalsete turbe- ja vastavusraportite koostamine.

Kirjeldus: Iga kvartal koostatakse kliendile raport, mis koondab Microsoft 365 keskkonna haldustegevused ja olulisemad näitajad. Raport sisaldab näiteks ülevaadet Secure Score’i ja Compliance Score’i dünaamikast (paranemised, jäänud soovitused), intsidendistatistikat (toimunud turvaintsidendid ja nende lahendused), vastavusauditi tulemusi ning teenusekasutuse trende. Samuti esitatakse raportis järgmise kvartali soovituslik tegevuskava kriitiliste teemade lahendamiseks. Vajadusel arutatakse raport läbi kliendi esindajatega.

Oodatav tulemus: Kliendil on regulaarselt detailne ülevaade pilveteenuse seisundist ja tehtud hooldustoimingutest. Raport suurendab läbipaistvust – juhtkond saab kinnitust, et turvalisuse ja vastavuse tagamiseks tehakse järjepidevalt tööd. Kvartaalne kokkuvõte võimaldab hinnata haldusteenuse tulemuslikkust ning planeerida ressursse (sh eelarvet ja edasisi arendusi) vastavalt reaalsetele riskidele ja prioriteetidele.

Soovituslik tööaja kulu: ~2 tundi kvartalis (andmete kogumine, analüüs ja kliendikohtumine).

2. Intsidentidele ja teavitustele reageerimine

  • Turvaintsidentide uurimine ja lahendamine.

Kirjeldus: Juhul kui Microsoft 365 keskkonnas ilmneb turvaintsident (näiteks kasutajakonto kompromiteerimine, lunavara rünnak endpoint’il või ohtliku e-kirja levik), reageerib haldusteenus viivitamatult. See hõlmab intsidiendi uurimist Microsoft 365 turbetööriistadega (Defenderi portaalides, auditilogides), mõju ulatuse kindlakstegemist ning vajalikku leevenduste rakendamist. Vajadusel tehakse koostööd Microsofti toega probleemi lahendamiseks. Töötatakse välja konkreetne tegevusplaan vastavalt intsidenti tüübile – näiteks häkkeri poolt kompromiteeritud konto korral lähtestatakse paroolid ja tühistatakse seansid, pahavara puhangu korral eemaldatakse nakatunud failid/ meilid ja eraldatakse mõjutatud seadmed võrgust. Kõik tegevused dokumenteeritakse.

Oodatav tulemus: Turvaintsidendid lahendatakse professionaalselt ja kiiresti, järgides kindlaid reageerimisprotseduure. Intsidendi mõju lokaliseeritakse ning kõrvaldatakse – pahavara on eemaldatud, kuritahtlik ligipääs blokeeritud ja haavatavused parandatud. Kliendile edastatakse kokkuvõte juhtunust ja võetud meetmetest ning tehakse soovitused edaspidiseks (nt täiendav kasutajakoolitus või turvakonfiguratsiooni parendus). Selline operatiivne käsitlemine vastab partnerite parimatele tavadele – näiteks Delli hallatava teenuse korral teavitatakse klienti viivitamatult tuvastatud ohtudest ning antakse soovitused nende lahendamiseks .

Soovituslik tööaja kulu: Sõltuvalt intsidentide arvust ja keerukusest (üksikintsident ca 2–4 tundi). Eelduslikult ~2 tundi kuus keskmiselt on planeeritud turvaintsidentide halduseks (vajadusel lisatunnid suuremate intsidentide korral).

  • Microsoft 365 teenuseintsidentide ja -teavituste käsitlemine.

Kirjeldus: Reageerimine Microsofti poolt edastatavatele teenuseintsidentidele või kriitilistele teavitustele, mis võivad mõjutada kliendi teenuste kättesaadavust või turvalisust. Näiteks juhul, kui Microsoft teatab Exchange Online’i teenuse tõrkest või globaalsest probleemist, jälgib haldustiim aktiivselt Microsoft 365Service Health teadet, teavitab vajadusel klienti ja kasutajaid olukorrast ning rakendab ajutisi lahendusi kuni Microsofti-poolse lahenduseni. Samuti hõlmab see komponent reageerimist Microsofti advisory-tüüpi teadetele – näiteks kui Microsoft annab teada uuest turvaohtlikust haavatavusest või nõuab adminilt konkreetset tegevust (nt konfiguratsioonimuudatust), teostatakse need tegevused esimesel võimalusel. Vajadusel eskaleeritakse probleem Microsofti toele kliendikeskkonna tasandil.

Oodatav tulemus: Microsofti pilveteenuste katkestused ja muudatused on kliendi jaoks hallatud – teenuseintsidentide korral on kommunikatsioon tagatud (kasutajad teavad, et probleemist ollakse teadlik ja lahendus on ootel) ning pärast intsidenti kontrollitakse teenuse täielikku taastumist. Ühtegi Microsofti kriitilist admini-teavitust ei jää rakendamata: nõutud konfiguratsioonimuudatused või turvapaigad saavad õigeaegselt tehtud, ennetades võimalikke probleeme tulevikus. Kokkuvõttes väheneb äritegevuse katkestuste kestus ja mõju, kuna reageerimine on kiire ja koordineeritud.

Soovituslik tööaja kulu: Varieeruv (intsidentipõhine). Planeeritavalt ~1 tund kuus teavituste/intsidentide haldamiseks (olenevalt tegelikust juhtumite arvust; suuremate tõrgete puhul ajakulu vajadusel suurem).

3. Teenuspäringute täitmine

  • Uute kasutajakontode loomine ja haldus.

Kirjeldus: Uute töötajate või teenusekasutajate lisamine Microsoft 365 rentnikku vastavalt kliendi tellimustele. Konto loomisel seadistatakse kasutajale sobivad litsentsid (nt E5) ning rakendatakse lähteturvaseaded (sh MFA nõue, vajadusel tingimusliku ligipääsu reeglid). Samuti lisatakse kasutaja vastavatesse gruppidesse ja jaotatakse postkastid või OneDrive’i ligipääsud vastavalt organisatsiooni protseduuridele. Haldusteenus tagab, et iga uus identiteet luuakse nõuetekohaselt ning talletatakse õiged profiiliandmed . Vajadusel koordineeritakse kasutaja seadme registreerimine Intune’i ja valmistatakse ette esmakasutuse juhised.

Oodatav tulemus: Uued kasutajad saavad operatiivselt ligipääsu neile vajalikele Microsoft 365 teenustele kohe tööle asumisel. Kõik kontod on algusest peale turvalised (vajalikud litsentsid on omistatud ja turvapoliitikad kehtivad). See ühtlustab tööle võtmise protsessi ning vähendab käsitsi sekkumisest tulenevaid vigu – identiteedihaldus on järjepidev ja korrektne. (Näiteks Delli pakutavas M365 haldusteenuses rõhutatakse identiteetide korrektset loomist ja haldust kliendi pilvkeskkonnas .)

Soovituslik tööaja kulu: ~30 min ühe uue kasutaja kohta (keskmiselt 1–2 tundi kuus, olenevalt uute kasutajate arvust).

  • Kasutajaõiguste muutmine ja juurdepääsude haldus.

Kirjeldus: Kliendi poolt tellitud kasutajate õiguste muudatuste teostamine Microsoft 365 keskkonnas. Siia kuulub näiteks kasutajale täiendavate õiguste andmine või äravõtmine (nt lisada kasutaja mõne meeskonnatööruumi või SharePointi saidi omanikuks, muuta postkasti juurdepääsuõigusi, määrata administraatorirolli või eemaldada see). Iga õiguste muutmise päring vaadatakse läbi, kontrollides vajadusel vastavaid kinnitusi, ning rakendatakse nõuetekohaselt põhimõtet “nii vähe õigusi kui vajalik”. Pärast muudatust logitakse tehtud muudatus auditeerimise tarbeks.

Oodatav tulemus: Kasutajate ligipääsuõigused on alati ajakohased ning vastavad nende tööülesannetele. Kui töötaja roll muutub või projekt lõpeb, kohandatakse tema juurdepääse kiiresti – tagatud on, et liiga laiad õigused ei püsiks. Samuti saavad töötajad vajalikud lisajuurdepääsud operatiivselt, mis tõstab nende produktiivsust (ei pea pikalt ootama ligipääsu olulisele ressursile). Regulaarne ja korrektne juurdepääsude haldus toetab turvalisust ning andmekaitset, vältides olukordi, kus eks-töötajal või sobimatul isikul jäävad alles liigsed õigused.

Soovituslik tööaja kulu: ~15–30 min päringu kohta (keskmiselt 1–2 tundi kuus, sõltuvalt õiguste muutmise päringute arvust).

  • Seadmehalduse päringud (Intune).

Kirjeldus: Erinevate seadmega seotud haldustoimingute tegemine kliendi palvel. Näiteks vajadusel uue ettevõtte sülearvuti või mobiilseadme Intune’i registreerimise abistamine (juhendamine või profiilipoliitikate määramine), kadunud või varastatud seadme kaugkustutuse (remote wipe) käivitamine, või konkreetse seadme tõrke lahendamine Intune’i kaudu (profiili taasrakendamine, poliitikate värskendamine jms). Halduspartner reageerib taolistele päringutele esimesel võimalusel, tagades et seadmehaldusprotseduurid (nt töötaja lahkumisel seadme eemaldamine või asendusseadme ettevalmistus) toimivad sujuvalt.

Oodatav tulemus: Seadme elutsükliga seotud toimingud viiakse läbi kiiresti ja turvaliselt. Kadunud seadmete puhul välditakse andmeleket andmete kustutamise kaudu; uued seadmed on korrektselt ettevõtte poliitikatega seadistatud enne kasutajale üleandmist. Kasutajate jaoks paraneb kogemus – nad saavad abi seadmeprobleemidele ja -soovidele mõistliku reageerimisajaga. Organisatsiooni seadmepark püsib ajakohane: mitteaktiivsed või volitamata seadmed eemaldatakse Intune’ist ja vajadusel Azure AD-st (parim praktika on aeg-ajalt puhastada keskkonda vananenud seadmetest) .

Soovituslik tööaja kulu: ~30 min – 1 tund päringu kohta (keskmiselt 1–2 tundi kuus seadmega seotud päringutele).

  • Muude standardpäringute täitmine.

Kirjeldus: Igapäevaste Microsoft 365 haldustoimingute raames tekkivate teiste väiksemate päringute käsitlemine. Siia kuuluvad näiteks paroolivahetuse või konto lukust lahtitegemise abistamine, Microsoft 365 litsentside muutmine või jaotamine kasutajate vahel, ühiskasutusega postkastide või meililistide loomine ning haldamine, erinevate Microsoft 365 rakenduste seadistusmuudatused jms. Haldusteenus lahendab need päringud vastavalt kokkulepitud SLA-le. Paljud neist on tavapärased administreerimistoimingud (näiteks rühmade, kontaktide, ressursside haldus Exchange Online’is) , mis teostatakse kiiresti ja korrektselt.

Oodatav tulemus: Kliendi organisatsiooni igapäevased IT-tööd on sujuvalt kaetud – standardpäringud täidetakse õigeaegselt ning kasutajad saavad kiiresti tagasi produktiivse töö juurde. Näiteks uue jagatud postkasti loomine või olemasoleva gruppi liikmete uuendamine ei tekita pikki ooteseise, sest haldusteenus tegeleb sellega operatiivselt. Ühtlasi tagab see, et Microsoft 365 keskkond püsib hästi organiseerituna (kontod, grupid, postkastid on ajakohased).

Soovituslik tööaja kulu: ~15–30 min päringu kohta (keskmiselt 2 tundi kuus kokku selliste väiksemate päringute teenindamiseks).

Kokkuvõte töömahust: Ülaltoodud tegevuste elluviimiseks on hinnanguline kogukulu keskmiselt ~16–24 tundi kuus (ehk ~48–72 tundi kvartalis), sõltuvalt konkreetse keskkonna suurusest ja dünaamikast. Tegelik töömaht võib varieeruda vastavalt intsidendide ja päringute tegelikule hulgale. Haldusleping hõlmab nimetatud tegevuste teostamist kokkulepitud mahus, tagades kliendi Microsoft 365 E5 keskkonna turvalise, vastavuspõhise ja tõrgeteta toimimise.

 

Lisa M2 – Kasutatavad haldusportaalid ja infoallikad

Sissejuhatus

Käesolev dokument laiendab Lepingu Lisa A punktis 4 toodud tabelit ja kirjeldab detailsemalt haldusportaale, millest Microsoft 365 E5 tenant’i haldusteenuse käigus infot hangitakse, ning täpsustab iga portaali puhul:

Peamine eesmärk – milleks portaali kasutatakse.

Olulised vaated ja menüüd – igapäevase, iganädalase ja igakuise töö seisukohalt.

Seosed Lisa A tegevuskoodeksiga – millised R‑, I‑, S‑ või C‑tüüpi tegevused toetuvad konkreetsele vaatele.

Praktilised juhised – navigatsioon, filtrid, eksport ja automatiseerimine (sh PowerShell / Graph API viited).

Terminoloogia märkus: Microsoft on 2023–2024 a. jooksul ühtlustanud turbeportaale (Defender XDR). Kui menüüde nimed muutuvad, kohandatakse seda juhendit kvartaliauditi käigus.

1 · Microsoft 365 Defender portal (https://security.microsoft.com)

1.1 Peamine eesmärk

Ühtne keskne klaaspaneel (XDR) kõigi pilveturbehoiatuste käsitlemiseks: Defender for Endpoint, Defender for Office 365, Microsoft 365 Apps ja identiteedi signaalid.

Secure Score’i realtime‑indeks, mis kogub turvapoliitikate rakendamise taset.

1.2 Olulised vaated

Vaade Navigatsioonitee Töötsükkel
Incidents & alerts Home → Incidents & alerts → Alerts queue Igapäevane (R1, I1) – sort Severity = High & Medium, olek Active.
Secure Score Secure Score Iganädalane (R1) – nupp Improvement actionsfilt Not planned + High risk.
Threat analytics Threat intelligence → Threat analytics Iganädalane – Active campaigns; vajadusel I‑tüüp intsident.
Endpoint vulnerabilities Endpoint security → Vulnerability management → Weaknesses Iganädalane (R2) – ekspordi CSV.
Email & collaboration Email & collaboration → Explorer (real‑time detections) Igapäevane (R2) – filtri Verdict = Malicious; kontrolli karantiin.

1.3 Praktilised juhised

Otsing ja filtrid: Alert queue lubab KQL‑stiilis otsingut (alertSeverity:High AND serviceSource:Office) – seda kasutatakse kiiresti kitsemaks otsinguks.

Automatiseerimine: API-lõpp /security/alerts (Microsoft Graph beta) tõmbab öisel cron‑skriptil TOP 100 aktiivset alerti CSV‑na Jira’le.

Export: Iga tabelivaate paremas ülanurgas Export – vali Download all rows. Ühendatakse Power Query’ga kuukokkuvõtteks.

Isolatsioon: Kui Endpoint‑alert nõuab seadme isolatsiooni, vali Device actions → Isolate device (full).

2 · Microsoft Entra / Azure AD admin center (https://entra.microsoft.com)

2.1 Peamine eesmärk

Identiteetide kaitse (Identity Protection), rollipõhise juurdepääsu (RBAC/PIM) haldus ja sisselogimislogid.

2.2 Olulised vaated

Vaade Navigatsioonitee Töötsükkel
Identity Protection → Risky sign‑ins Protect & secure → Identity Protection → Risky sign‑ins Igapäevane (I2) – filter Risk = High; klõpsa Confirm compromise / Dismiss.
Identity Protection → Risky users sama Igapäevane (I2) – kasutajate paroolivahetus.
Roles & administrators Manage → Roles & administrators Igakuine (R4) – eksport Global Administrator‐list CSV‑na.
Privileged Identity Management Protect & secure → Privileged Identity Management Kvartaalne (C1) – läbivaatuse plaan, Access reviews.
Sign‑in logs Monitor → Sign‑in logs Igapäevane (R2) – KQL filtrid LogonError != 0vms.

2.3 Praktilised juhised

Access review: käivitage kvartalis Global Admin rollile, Duration = 14 days, reviewer = CISO.

PowerShell: Get-AzureADAuditSignInLogs -Filter “riskLevelDuringSignIn eq ‘high'” – autom. raport.

3 · Intune admin center (https://endpoint.microsoft.com)

3.1 Peamine eesmärk

Seadmehaldus ja vastavuse (compliance) ülevaated, poliitikate juurutamine ning kaugtoimingud (wipe, isolate).

3.2 Olulised vaated

Vaade Navigatsioonitee Töötsükkel
Devices → All devices Root → Devices → All devices Iganädalane (R2/R6) – filter Compliance = Non‑compliant.
Reports → Endpoint security Root → Reports → Endpoint security Iganädalane – seadme risk/antimalware olek.
Endpoint security → Antivirus Root → Endpoint security → Antivirus Igakuine – kontrolli Assigned – Not up to date.
Remote actions Devices list → vali seade → Wipe / Sync / Restart Ad‑hoc (S3) – seadme haldus.

3.3 Praktilised juhised

Filters: Salvestage kohandatud Device filter osPlatform eq ‘Windows’ and deviceCompliance eq ‘false’.

Excel eksport: iga seadmelist → Export nupp → CSV, laaditakse Teams turvakanalisse.

4 · Microsoft Purview Compliance center (https://compliance.microsoft.com)

4.1 Peamine eesmärk

Vastavusauditid, DLP rikkumised, andmete säilituspoliitikad.

4.2 Olulised vaated

Vaade Navigatsioonitee Töötsükkel
Compliance score Home → Compliance score Igakuine (R3, C1) – Improvement actions järjekord.
Data loss prevention → Alerts Home → Data loss prevention → Alerts Igapäevane (R2, I1) – filter Severity = High.
Data classification → Content explorer sama Ad‑hoc – kontrolli, milline tundlik sisu kus paikneb.
Audit → Audit log search sama Igapäevane (R2) – eeldefineeritud päring “SensitiveFileDownloaded”.

4.3 Praktilised juhised

Alert policy: loo kohandatud DLP alert „Internal → External credit card data“ – Severity = High, e‑post turvameeskonnale.

Export: Compliance Score → Download actions – lisatakse kvartali riskiraporti lisa.

5 · Microsoft 365 admin center (https://admin.microsoft.com)

5.1 Peamine eesmärk

Teenuseoperatsioonid (Service Health/Message Center), litsentside haldus, kasutajarekvisiidid ja grupihaldus.

5.2 Olulised vaated

Vaade Navigatsioonitee Töötsükkel
Health → Service health Root → Health → Service health Igapäevane (I3) – punase/kollase teenuseintsidendi jälg.
Health → Message center sama Igapäevane (R7) – filtrid Action required, Security update.
Billing → Licenses Root → Billing → Licenses Kvartaalne (C2) – litsentside kasutuse jaotuse eksport.
Users → Active users Root → Users → Active users Igapäevane (S1/S4) – uute kontode loomine, deaktiveerimine.

5.3 Praktilised juhised

Message center rules: seadista Preferred language = English + Email digest daily turvameeskonnale.

PowerShell: Get-MgAuditLogSignIn -Top 50 – kiire turvakontroll (Graph SDK).

6 · Lisatööriistad ja integreerimised

Tööriist Kasutus Märkused
Microsoft Graph PowerShell / API Automatiseeritud aruandlus Secure Score, Intune compliance’i kohta. Cron‑skript juhib CSV‑de eksporti öösel; failid salvestatakse SharePoint turvaraamatusse.
Log Analytics + Sentinel Sügavam threat‑hunting (valikuline, kui tellitud). Defender alertid voogesitatakse Sentinelisse – SIEM korrelatsioon.
Jira / ServiceNow Piletihaldus & change management. Iga R‑ või I‑tegevus märgitakse unikaalse piletikoodiga.

Kokkuvõte

Administraatori igapäevane/iganädalane kontrollring algab Microsoft 365 Defender portaalist (turvaalerts, Secure Score), seejärel liigub Entra identiteediriskide juurde, kontrollib Intune seadmeid, hindab PurviewDLP/Compliance‑näitajaid ja lõpetab Microsoft 365 admin keskuse teenuseterviseteadete ülevaatamisega.

Kõik leitud kõrvalekalded logitakse piletisüsteemi ning vajaduse korral eskaleeritakse Lisa A I‑tüüpi intsidentidena.

LISA M3 – KOOSTÖÖKORRALDUS KOLMANDA OSA-POOLE HALDUSTEENUSEGA

1. Eesmärk

Käesoleva Lisa eesmärk on sätestada infovahetuse ja koostöö põhimõtted juhul, kui Kliendi arvutivõrku, tööjaamu või RMM-infrastruktuuri (nt Datto RMM) haldab Kolmas osapool (edaspidi “Kolmas osapool”), näiteks Telekom, Datto MSP või mõni muu partner.

2. Informatsiooni edastamine Kolmandale osapoolele

2.1 Teavitused intsidentidest

  1. Kui Microsoft 365 E5 keskkonna kasutamise käigus tuvastame turvaintsidendi (nt kahtlase sisselogimise, kompromiteeritud konto, pahavara ründe vms), teavitame:
  • Klienti – valdavalt e-postiga, vajadusel ka telefoni teel, et Kliendil oleks kohene ülevaade olukorrast.
  • Kolmandat osapoolt – kui esialgne analüüs viitab, et intsident võib olla seotud lokaalse taristu või tööjaama tasandi probleemiga (seadme turvapuudus, OS-i parenduste vajadus jms).
  1. Teavitades Kolmandat osapoolt, edastab Teenusepakkuja olulise M365 poolelt saadud info (nt Defenderi raporti kokkuvõte, IP-aadressid, kasutajakonto ID jms), mis võib aidata diagnoosida või lahendada intsidenti lokaalses taristus.
  • Teenusepakkuja ei vastuta selle teabe sisu täielikkuse või kasutamise eest, kuna tööjaama- ja võrguhalduses ei ole Teenusepakkujal kontrolli ega vastutust.
  • Kolmas osapool otsustab ise, kuidas ja kas ta saadud infot oma haldusvahendites (nt Datto RMM) rakendab või kas see vajab täiendavat analüüsi.
  1. Teenusepakkuja edastab info e-postiga (või muu kokkulepitud kanali kaudu) nii kiiresti kui võimalik, kuid ei vastuta võimalike viivituste eest Kolmanda osapoole poolsetes protsessides ega tagajärgede eest, kui Kolmas osapool saadud infot ei kasuta või rakendab seda hilinemisega.

2.2 Tehniline taustinfo

  1. Teenusepakkuja võib Kolmandale osapoolele edastada logiväljavõtteid (nt Defender for Endpointi alertid, M365 auditilogi katkend) või teisi M365 raporteid, mis on asjakohased arvutivõrgu või tööjaama tasandi probleemi diagnoosimiseks.
  2. Teenusepakkuja ei taga kõigi võimalike andmeväljavõtete terviklikkust, kuna:
  • Kliendi lokaalne taristu (tööjaamad, Datto RMM-agendid, tulemüürid) ei ole Teenusepakkuja hallata, mistõttu võib lisainfo laekuda või puudu jääda Kolmanda osapoole või Kliendi suunalt.
  • Edastatud raportid või hoiatused on MS365 keskkonna vaatenurk. Lõpliku probleemi põhjust tuvastab Kolmas osapool oma tööriistadega.

2.3 Koostöö sujuvus

  1. Kolmas osapool võib küsida Teenusepakkujalt M365 keskkonnaga seotud täiendavaid andmeid või soovitusi. Teenusepakkuja annab omapoolse eksperthinnangu, kuid ei vastuta Kolmanda osapoole äranägemise või otsuste eest, kuidas nad seda infot reaalselt kasutavad.
  2. Kui Kliendi IT-keskkonna terviklik kaitsmine nõuab lokaalseid uuendusi (näiteks opsüsteemi turvapaigad, Datto RMM-agendi uuendus), siis Teenusepakkuja annab sellest märku nii Klientidele kui ka Kolmandale osapoolele, kuid ei vastuta, kui vajalikud sammud jäävad Kolmanda osapoole poolt tegemata.

3. Koostööpõhimõtted Datto RMM-i kasutamisel

  1. Rollijaotus
  • Kolmas osapool vastutab Datto RMM-i (või muu RMM-tööriista) paigaldamise, seadistamise ja jooksvate uuenduste eest igas Kliendi arvutis.
  • Teenusepakkuja (M365 halduspartner) ei sekku Datto RMM agendi funktsioneerimisse, halduskonsooli seadetesse ega tööjaamade opsüsteemi uuendamisse.
  • Juhul kui M365 poolel tuvastatakse intsident, mille lahendus eeldab tööjaama tasandil sekkumist (pahavara eemaldus, uuenduste paigaldus, seade karantiini määramine jms), edastab Teenusepakkuja Kolmandale osapoolele vastava info (märkides näiteks “Arvuti X on Defenderis märgitud ohtlikuks” vms). Edasine tegutsemine (karantiin, RMM-agendi seadistus) on Kolmanda osapoole pädevus ja vastutus.
  1. Andmete sünkroniseerimine
  • Teenusepakkuja ei kogu ega säilita Datto RMM agendi logisid; see kuulub Kolmanda osapoole haldusdomeeni.
  • Kui Kolmas osapool vajab MS365-st täpsemaid andmeid (nt e-posti päised, kaitsesoovitused), siis Teenusepakkuja väljastab need võimaluste piires. Kas, kuidas ja millal Kolmas osapool saadud infot RMM-is rakendab, on nende äranägemine.
  • Teenusepakkuja ei vastuta olukorra eest, kus Kolmas osapool Datto RMM logidest tuvastatud informatsiooni ei kasuta või kasutab puudulikult.

4. Vastutuse ulatus

4.1 Teenusepakkuja vastutus

  • Teenusepakkuja hoolitseb ainult Microsoft 365 E5 tenant’i ja selle seotud pilveteenuste (Intune, Defender, Office 365) seadistuste, poliitikate ja auditeerimise eest Lepingu tingimuste raames.
  • Teenusepakkuja võtab endale kohustuse teavitada Klienti ja Kolmandat osapoolt, kui M365 poolelt on tuvastatud potentsiaalseid riske või intsidente, kuid ei vastuta, kas Kolmas osapool seda teavet kasutab või kasutamata jätab.

4.2 Teenusepakkuja ei vastuta

  1. Arvutite füüsilise hoolduse või opsüsteemi turvapaikade paigaldamise eest, mida teostatakse Datto RMM-iga (või muude Kolmanda osapoole tööriistadega).
  2. Kolmanda osapoole reageerimise või mitte­reageerimise eest: kui Teenusepakkuja on edastanud teavitused (e-posti, telefoni vm kokkulepitud kanali kaudu), kuid Kolmas osapool ei rakenda soovitatud meetmeid õigeaegselt.
  3. Klienti otseselt või kaudselt tabanud kahjude (muu hulgas saamata jäänud tulu) eest, kui see on tingitud Kolmanda osapoole tegevusetusest või viivitustest tööjaama- ja võrguhalduses.
  4. Datto RMM agendi konfiguratsiooni, versiooniuuenduste või muude lokaalse taristu seadistuste eest, mis jäävad Teenusepakkuja haldusulatusest välja.
  5. Tööjaamade riistvara- või tarkvararikete eest, kui nende lahendamiseks on vaja Kolmanda osapoole sekkumist (Telekom/Datto jms).
  6. Täppisandmete (nt RMM logide) terviklikkuse, õigsuse ega nende õigeaegse kättesaadavuse eest, kuna need on Kolmanda osapoole haldusalas.

5. Koostöö protseduurid

  1. Kontaktisikud
  • Klient tagab, et nii Teenusepakkujal kui ka Kolmandal osapoolel on olemas teineteise kehtivad kontaktid (e-posti aadressid, telefoninumbrid).
  • Kõrge kriitilisusega intsidentide korral võib Teenusepakkuja (M365 halduspartner) pöörduda otseselt Kolmanda osapoole kontaktisiku poole telefonitsi, kopeerides Kliendi igakordselt e-kirja CC-sse.
  1. Regulaarne staatuskoosolek
  • Soovitavalt vähemalt kord kvartalis (või Kliendi nõudmisel) toimub ühine koosolek, kus vaadatakse üle Kliendi IT-taristu tervikpilt: M365 keskkonna turbe- ja vastavusseis, Datto RMM haldustegevused, avatud intsidentide staatus.
  • Teenusepakkuja raporteerib M365 turbest ja intsidendihaldusest, Kolmas osapool selgitab tööjaamade ja võrgu haldust. Kliendil on terviklik ülevaade vastutusaladest ja edasistest sammudest.
  1. Andmete ja teavituste edastamise viis
  • Teenusepakkuja edastab teavitused, logiväljavõtted ja raportid põhiliselt e-posti teel.
  • Kirjalik e-posti teavitus loetakse kättetoimetatuks, kui see on saadetud Teenusepakkujalt Kolmanda osapoole või Kliendi teadaolevale ametlikule e-posti aadressile. Hilisemad vaidlused teavituse puudumise kohta ei ole kehtivad, kui Teenusepakkujal on vastav saadetud kirja logi.
  • Kolmas osapool vastutab saadud info kasutamise või rakendamise eest oma taristus. Kui Kolmas osapool soovib lisainfot või M365 logide detailsemat analüüsi, tagab Teenusepakkuja selle mõistliku aja ja võimaluste piires.
365 Business Premium