circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
search
Go to glueckkanja Website

Berechtigungen

hashtag
Überblick

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für das Cloud App Activity Profiler. Der Agent verwendet Nur-Lese-Zugriff auf Microsoft Defender for Cloud Apps-, Microsoft Defender for Endpoint- und Microsoft Entra ID-Daten über dokumentierte Microsoft Graph API und Security Copilot Plugins. Er ist darauf ausgelegt, SaaS-Domainaktivitäten, Alarmkorrelationen und Bedrohungsintelligenz-Indikatoren zu analysieren ohne irgendwelche Konfigurationen oder Richtlinien in Ihrer Umgebung zu ändern.

hashtag
Funktionsweise

Der Agent verbindet sich sicher mit Ihrem Microsoft 365-Mandanten und der Defender for Cloud Apps-Telemetrie, um SaaS-Aktivitätsdaten zu sammeln und zu korrelieren. Er erkennt neue oder hochvolumige Domains, bereichert Befunde mit Alarm- und Bedrohungsintelligenz-Kontext und erstellt eine Risikoabschätzung mit Governance-Empfehlungen wie ZULASSEN, ÜBERWACHEN, oder BLOCKIEREN.

Alle Vorgänge basieren auf den folgenden Grundsätzen:

  • Nur-Lese-Zugriff: Der Agent verändert oder entfernt keine Daten.

  • Prinzip der minimalen Berechtigungen: Es werden nur die minimal erforderlichen Berechtigungen für die Analyse der Domainaktivität angefordert.

  • Transparenz: Alle Datenabrufe erfolgen über dokumentierte Graph-API-Endpunkte oder Security Copilot Plugins und sind in den Microsoft Entra-Protokollen vollständig prüfbar.

hashtag
Erforderliche Entra ID- und Defender-Rollen

Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agenten betreibt, die folgenden Rollen und Berechtigungen zu:

Rolle
Beschreibung

Security Reader

Gewährt Nur-Lese-Zugriff auf Sicherheitsinformationen und -alarme in Microsoft Defender for Cloud Apps.

Cloud App Security Administrator (optional)

Gewährt zusätzliche Einblicke in Cloud-App-Konfigurationen und Discovery-Daten, falls erforderlich.

Directory Reader

Ermöglicht den Zugriff auf Benutzer- und Gruppendaten zur Normalisierung und Korrelation von Aktivitäten.

Diese Rollen folgen dem Prinzip der minimalen Berechtigungen und können auf bestimmte Ressourcen beschränkt werden, falls ein mandantenweiter Zugriff nicht erforderlich ist.

hashtag
Transparenz beim Datenzugriff

Die folgende Tabelle zeigt, auf welche Datenquellen der Agent zugreift und zu welchem Zweck:

Datentyp
Zugriffsebene
Zweck

Cloud-App-Aktivitätsprotokolle (CloudAppEvents)

Nur-Lese-Zugriff

Um neue und hochvolumige Domains zu identifizieren und potenzielle Exfiltrationen oder Upload-Spitzen zu erkennen.

Alarmdaten (AlertInfo und AlertEvidence)

Nur-Lese-Zugriff

Um schwerwiegende Alarme und damit verbundene Verhaltensweisen für jede Domain zu korrelieren.

Bedrohungsintelligenz-Indikatoren (ThreatIntelligence.DTI)

Nur-Lese-Zugriff

Um Domains mit Reputationsdaten und bekannten Bedrohungszuordnungen anzureichern.

Verzeichnis- und Benutzerdaten (optional)

Nur-Lese-Zugriff

Um Benutzeraktivitäten zu normalisieren und benutzerbasierte Risikokennzahlen zu berechnen.

Datenverarbeitung:

  • Der Agent ändert oder löscht keine Defender-, Entra- oder Graph-Daten.

  • Alle Verarbeitungen erfolgen innerhalb Ihrer Mandantengrenze, wodurch kein Datenexport sichergestellt ist.

  • Alle Datenzugriffe werden in den Microsoft Entra-Auditprotokollen protokolliert, um volle Transparenz und Compliance zu gewährleisten.

  • Der Agent arbeitet nur unter delegierten oder genehmigten Anwendungsberechtigungen, die von Ihrem Administrator erteilt wurden.

hashtag
Agenteneinstellungen

Der Agent unterstützt Konfigurationsparameter zur Steuerung der Entdeckungstiefe, des Analyseumfangs und des Ausgabeformats:

Einstellung
Optionen
Beschreibung

Bereich

domains, alerts, threatIntel

Definiert, welche Datenquellen in die Analyse einbezogen werden.

Modus

schnell, standard, tief

Gibt die Tiefe der Analyse und das Anreicherungsniveau an.

schnell – Identifiziert neu beobachtete Domains und grundlegende Aktivitätsmetriken.

standard – Korreliert Alarme und Bedrohungsintelligenzdaten für kontextuelle Bewertungen. (empfohlen)

tief – Vollständige Anreicherung und Bewertung mit detaillierter Playbook-Erstellung und Domain-Governance-Empfehlungen.

Rückblickzeitraum

7, 14, 30 Tage

Legt fest, wie weit in die Vergangenheit Aktivitätsdaten ausgewertet werden.

Stellen Sie sicher, dass alle erforderlichen Rollen der Identität, die den Agenten ausführt, zugewiesen sind, bevor Sie eine Analyse starten.

hashtag
Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation mit Microsoft Graph- und Defender-APIs ist verschlüsselt mittels HTTPS und durch Microsoft-Identitätsdienste.

  • geschützt. Der Agent erfüllt die Zero Trust und und Prinzipien der minimalen Berechtigungen im Design.

  • Berechtigungen können jederzeit über Microsoft Entra Rollenverwaltung oder Zustimmungs-Konfiguration überprüft oder widerrufen werden.

  • Der Agent führt keine Schreib- oder Konfigurationsvorgänge aus, wodurch Betriebssicherheit und Compliance-Integrität gewährleistet sind.

hashtag
Nächste Schritte

  1. Überprüfen Sie, ob dem Dienstkonto oder der verwalteten Identität die erforderlichen Rollen und API-Berechtigungen zugewiesen wurden.

  2. Überprüfen Sie die Governance- und Rollenzuweisungsrichtlinien Ihrer Organisation vor der Bereitstellung.

  3. Konfigurieren Sie den gewünschten Analysemodus (schnell, standard, oder tief) basierend auf der Größe und Sensitivität Ihrer Umgebung.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?