circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
search
Go to glueckkanja Website

Berechtigungen

hashtag
Überblick

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den Attack Mapping Agent. Der Agent verwendet Lesezugriff auf Microsoft Sentinel-, Microsoft Defender- und Security Copilot-Daten über dokumentierte Microsoft Graph API und Security Copilot-Plugins. Er ist darauf ausgelegt, Konfigurationen von Analyse-Regeln, ATT&CK-Zuordnungen und Telemetrie-Korrelationen zu analysieren ohne Änderungen vorzunehmen an Ihrer Umgebung.

hashtag
Funktionsweise

Der Agent stellt eine sichere Verbindung zu Ihrem Mandanten und dem Microsoft Sentinel-Arbeitsbereich her, um Metadaten zu Analyse-Regeln, Zuordnungsdetails und zugehörige Telemetrie abzurufen. Er bewertet und validiert die Zuordnungen von MITRE ATT&CK-Taktiken, -Techniken und -Subtechniken und stellt sicher, dass die Zuordnungen die Erkennungsabdeckung korrekt widerspiegeln.

Alle Interaktionen folgen diesen Prinzipien:

  • Nur-Lese-Zugriff: Der Agent ändert, erstellt oder löscht keine Analyse-Regeln.

  • Prinzip der minimalen Berechtigungen: Es werden nur die minimal erforderlichen Rollen und Berechtigungen verwendet, um Sentinel- und Defender-Daten zu lesen.

  • Transparenz: Alle Datenzugriffe erfolgen über dokumentierte API-Endpunkte und können in Microsoft Entra geprüft werden.

hashtag
Erforderliche Entra ID- und Sentinel-Rollen

Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agenten ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Microsoft Sentinel-Leser

Bietet Nur-Lese-Zugriff auf Konfigurationen von Analyse-Regeln und Alarmmetadaten.

Microsoft Sentinel-Responder (optional)

Fügt Vorfallsbeziehungsdaten hinzu, wenn erweiterte Analysen aktiviert sind.

Security Reader

Gewährt Einblick in Defender-Sicherheitsinformationen und -Ereignisse ohne Änderungsrechte.

Directory Reader

Ermöglicht Nur-Lese-Zugriff auf Benutzer- und Gruppendaten des Verzeichnisses für Regelkorrelationen.

Diese Rollen folgen dem Prinzip der minimalen Berechtigungen und können basierend auf den Sicherheitsrichtlinien Ihrer Organisation angepasst werden.

hashtag
Transparenz beim Datenzugriff

Die folgende Tabelle zeigt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck:

Datentyp
Zugriffsebene
Zweck

Metadaten zu Sentinel-Analyse-Regeln

Nur-Lese

Um Analyse-Regeln zu inventarisieren, MITRE-Zuordnungen zu validieren und Inkonsistenzen zu erkennen.

Sicherheitsalarme und Telemetrie-Beispiele

Nur-Lese

Um zu überprüfen, dass zugeordnete Techniken mit dem tatsächlichen Erkennungsverhalten übereinstimmen.

MITRE ATT&CK-Wissensbasis

Nur-Lese

Um Taktik- und Technik-IDs zu validieren und die kanonische Ausrichtung sicherzustellen.

Verzeichnis- und Arbeitsbereichsdaten

Nur-Lese

Um Analyse-Regeln mit Eigentümern und Konfigurationskontext zu korrelieren.

Datenverarbeitung:

  • Der Agent ändert, erstellt oder löscht keine Daten in Ihrem Mandanten.

  • Es werden keine Kundendaten außerhalb der Mandantengrenze exportiert.

  • Alle Zugriffe erfolgen über Microsoft Graph und Security Copilot-Plugins unter Verwendung delegierter oder Anwendungsberechtigungen.

  • Zugriffsaktivitäten werden in den Microsoft Entra-Prüfprotokollen für vollständige Nachvollziehbarkeit protokolliert.

hashtag
Agenteneinstellungen

Der Agent unterstützt konfigurierbare Parameter, die Umfang und Tiefe seiner Validierung definieren:

Einstellung
Optionen
Beschreibung

Umfang

analyticRules, telemetry, mappingValidation

Bestimmt, welche Sentinel-Komponenten in die Analyse einbezogen werden.

Modus

schnell, standard, tief

Definiert die Analyse-Tiefe und das Korrelationsniveau.

schnell – Grundlegende Überprüfung von Regelzuordnungen hinsichtlich Syntax und Struktur.

standard – Ausgewogene Validierung von Zuordnungen unter Verwendung von MITRE-Wissen und begrenzter Telemetrie. (empfohlen)

tief – Vollständige Validierung mit Telemetrie-Stichproben und Regel-zu-Erkennungs-Korrelation.

Stellen Sie vor dem Ausführen des Agenten sicher, dass alle erforderlichen Rollen und Arbeitsbereichsberechtigungen zugewiesen sind.

hashtag
Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation mit Microsoft Sentinel und Microsoft Graph ist verschlüsselt mit HTTPS und durch Microsoft-Identitätsdienste.

  • gesichert. Der Agent folgt Zero Trust und dem Prinzip der minimalen Berechtigungen Prinzipien.

  • Der Zugriff kann jederzeit über Microsoft Entra-Rollenassignments oder Anwendungs-Zustimmungsverwaltung.

  • überprüft oder widerrufen werden.

hashtag
Es werden keine Konfigurationsänderungen in Ihrer Umgebung vorgenommen, wodurch während der Analyse volle operative Sicherheit gewährleistet ist.

  1. Nächste Schritte

  2. Überprüfen Sie, dass das Administratorkonto oder die verwaltete Identität, die den Agenten ausführt, die erforderlichen Rollen zugewiesen hat.

  3. Bestätigen Sie, dass die API-Zugriffsberechtigungen für Microsoft Sentinel und Defender aktiv sind.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?