circle-info
Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
search
Go to glueckkanja Website

Berechtigungen

hashtag
Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet Lesezugriff auf Sicherheitsvorfälle, Alarme, Geräte- und Identitätsrisikodaten über Security Copilot-Plugins. Er wurde entwickelt, um bei forensischen Untersuchungen und Bedrohungsanalysen in Microsoft Defender XDR zu unterstützen, indem er Vorfälle analysiert, Kontext korreliert und Ergebnisse mit externen Bedrohungsinformationen anreichert.

hashtag
Funktionsweise

Der Agent verbindet sich sicher mit Ihrer Microsoft Defender XDR-Umgebung über Security Copilot-Plugins, um Vorfallsdetails, Alarme, Advanced Hunting-Ergebnisse und zugehörige Entitätsdaten zu sammeln. Anschließend reichert er diese Erkenntnisse mit externen Bedrohungsinformationen an, um eine einheitliche Sicht auf die Untersuchung zu erzeugen.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent ändert, löst oder löscht keine Vorfälle oder Alarme.

  • Minimalprinzip (Least Privilege): Es sind nur die Rollen erforderlich, die zum Lesen von Vorfalls- und Bedrohungsdaten notwendig sind.

  • Transparenz: Alle Datenzugriffe sind in Microsoft Entra prüfbar und folgen den üblichen Sicherheits- und Compliance-Kontrollen.

hashtag
Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Security Reader

Gewährt schreibgeschützten Zugriff auf Defender XDR-Vorfälle, Alarme und Untersuchungsdaten.

Global Reader

Ermöglicht schreibgeschützten Zugriff über Microsoft 365-Dienste hinweg für Korrelation und domänenübergreifenden Kontext.

hashtag
Optionale Rollen für erweiterte Analysen

Rolle
Beschreibung

Security Administrator

Erlaubt die Ausführung von Advanced Hunting-Abfragen und tiefere Datenkorrelation innerhalb von Defender XDR.

circle-info

Zuweisung von Security Administrator ermöglicht Advanced Hunting-Funktionen, ist jedoch für die Standardanalyse nicht erforderlich.

hashtag
Transparenz beim Datenzugriff

Die folgende Tabelle legt dar, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

Datentyp
Zugriffslevel
Zweck

Sicherheitsvorfälle und -alarme

Schreibgeschützt

Um Alarme zu untersuchen und zu korrelieren, Ursachen zu identifizieren und Auswirkungen zu bewerten.

Advanced Hunting-Daten

Schreibgeschützt

Um Muster- und Verhaltensanalysen über Entitäten und Telemetrie durchzuführen.

Geräte- und Endpunktdaten

Schreibgeschützt

Um Alarme mit Geräten, Prozessen und Netzwerkaktivitäten zu verknüpfen.

Identitätsrisikodaten

Schreibgeschützt

Um das Benutzerverhalten zu analysieren und Vorfälle mit möglicher Kompromittierung von Identitäten zu korrelieren.

Externe Bedrohungsinformationen (Indikatoren)

Schreibgeschützt

Um Alarme und Entitäten mit kontextuellen Risikoinformationen anzureichern.

Datenverarbeitung:

  • Der Agent ändert oder exportiert keine Kundendaten außerhalb der Mandantengrenze.

  • Alle Zugriffe sind auf Security Copilot-Plugins unter Verwendung delegierter oder anwendungsbasierter Berechtigungen beschränkt.

  • Zugriffsaktivitäten werden protokolliert in Microsoft Entra-Prüfprotokollen zur Einhaltung und Rückverfolgbarkeit.

hashtag
Agentenverwendung

Wenn Sie den Agenten ausführen, geben Sie die erforderlichen Eingaben an, um Vorfälle zu analysieren oder Untersuchungszusammenfassungen zu erstellen.

Eingabetyp
Beschreibung
Beispiel

Erforderlich

Vorfalls-ID

"Analysiere Vorfall 12345"

Optional

Zusätzliche Parameter für Kontext

"Erzeuge forensischen Bericht für Vorfalls-ID 67890"

Optional

Tiefenanalyse- oder Zusammenfassungsmodus

"Tiefenanalyse des Vorfalls 45678"

Vorfall-IDs finden Sie im Microsoft 365 Defender-Portal unter: Vorfälle & Alarme → Vorfälle.

hashtag
Externe Bedrohungsinformationsdienste

Der Agent reichert Indikatoren automatisch mit den folgenden externen Diensten an — keine Konfiguration oder API-Schlüssel erforderlich:

Dienst
Zweck

Shodan

Port-Scanning, Dienstidentifikation und Erkennung von Schwachstellen.

SSL/TLS-Analyse

Inspektion und Validierung von Zertifikatmetadaten.

WHOIS-Dienste

Abfrage von Domainregistrierung und Eigentümerinformationen.

CIRCL

Malware-Hash-Abfragen und Dateireputationsprüfungen.

IP-/Domain-Reputationsdienste

Bewertung und kontextuelle Risikoeinschätzung für externe Indikatoren.

Diese Dienste werden automatisch als Teil jeder Analyse abgefragt, um den Erkennungskontext zu verbessern und die Genauigkeit der Untersuchung zu erhöhen.

hashtag
Sicherheits- und Compliance-Überlegungen

  • Alle Kommunikationen über Security Copilot-Plugins sind verschlüsselt mittels HTTPS und über Microsoft-Identitätsdienste authentifiziert.

  • Der Agent hält sich an die Zero-Trust und Prinzipien des geringsten Privilegs .

  • Zugriffe können jederzeit über Entra ID-Rollenassignments oder Verwaltung der Anwendungszustimmung.

hashtag
Nächste Schritte

  • Vergewissern Sie sich, dass das Administratorkonto die erforderlichen Rollen zugewiesen hat.

  • Stellen Sie sicher, dass Defender XDR und die zugehörigen Telemetriequellen aktiv sind und aktuelle Vorfallsdaten enthalten.

  • Überprüfen Sie die Untersuchungsergebnisse innerhalb von Security Copilot auf kontextbezogene Empfehlungen.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?