Berechtigungen
Übersicht
Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für das Insider Risk Profiler. Der Agent verwendet Nur-Lese-Zugriff auf Microsoft Purview Insider Risk Management, Microsoft Defender und Microsoft Entra ID-Daten über dokumentierte Microsoft Graph-API und Security Copilot-Plugins. Er ist darauf ausgelegt, Insider-Risikoalarme, Benutzer-Risikoniveaus, Gerätekonformität und DLP-Ereignisse zu analysieren ohne Änderungen vorzunehmen an Ihrer Umgebung.
Funktionsweise
Der Agent verbindet sich sicher mit Microsoft Purview und Defender, um zu sammeln Insider Risk Management (IRM)-Alarme, Identitätsrisikosignale und Verhaltens-Telemetrie aus mehreren Aktivitätsquellen wie E-Mail, Cloud-Anwendungen und Dateioperationen. Er bereichert Alarme mit kontextuellen Daten aus Defender und Entra ID, berechnet eine zusammengesetzte Risikobewertung und erstellt eine priorisierte Warteschlange mit Empfehlungen für Untersuchung und Behebung.
Alle Vorgänge folgen diesen Grundprinzipien:
Nur-Lese-Zugriff: Der Agent verändert oder löscht keine Daten.
Prinzip der minimalen Rechte: Es werden nur die minimal erforderlichen Berechtigungen für Korrelation und Anreicherung angefordert.
Transparenz: Der gesamte Zugriff erfolgt über dokumentierte Microsoft Graph-Endpunkte und kann vollständig über Microsoft Entra-Aktivitätsprotokolle geprüft werden.
Erforderliche Entra-ID- und Purview-Rollen
Weisen Sie das folgende Rollen und Berechtigungen dem Administratorkonto oder der verwalteten Identität zu, die den Agenten ausführt:
Insider Risk Management-Analyst
Bietet direkten Nur-Lese-Zugriff auf Insider Risk Management (IRM)-Alarme innerhalb von Microsoft Purview.
Security Reader
Gewährt Einblick in Sicherheitsalarme, Vorfälle und Verhaltenssignale in Defender und Sentinel.
Directory Reader
Ermöglicht Nur-Lese-Zugriff auf Entra ID-Benutzer- und Gruppenmetadaten zur Alarmkorrelation und Berichterstellung.
Intune Reader (optional)
Bietet Gerätekonformitätskontext bei der Analyse von Alarmen, die mit verwalteten Endpunkten verknüpft sind.
Diese Rollen entsprechen dem Prinzip der minimalen Rechte und können bei Bedarf auf bestimmte Datensätze oder Gruppen begrenzt werden.
Transparenz beim Datenzugriff
Die untenstehende Tabelle zeigt die vom Agenten abgerufenen Datenquellen und deren Zwecke:
Insider Risk Management-Alarme
Nur-Lesezugriff
Zum Abrufen von Alarmmetadaten und Erstellen priorisierter Risiko-Warteschlangen.
Sicherheitsalarme und -vorfälle
Nur-Lesezugriff
Zum Abgleich von Defender-Daten für kontextuelle Anreicherung.
Risikobehaftete Benutzer und Identitätsereignisse
Nur-Lesezugriff
Zur Bewertung von identitätsbezogenen Risikofaktoren auf Benutzerebene und der Wahrscheinlichkeit einer Kompromittierung.
Advanced Hunting-Telemetrie
Nur-Lesezugriff
Zur Analyse von Datei-, E-Mail-, Cloud- und Authentifizierungsereignissen für Verhaltensbewertungen.
DLP-Richtlinienverstöße
Nur-Lesezugriff
Zum Erkennen von Anomalien im Umgang mit sensiblen Daten und Exfiltrationsmustern.
Gerätestatus und Konformität
Nur-Lesezugriff (optional)
Zur Anreicherung von Benutzer-Risikoprofilen mit Informationen zum Gerätezustand.
Verzeichnis-Benutzer- und Gruppendaten
Nur-Lesezugriff
Zur Normalisierung von Benutzeridentitäten, Korrelation von Zuweisungen und Verbesserung der Berichtsklarheit.
Datenverarbeitung:
Der Agent ändert, erstellt oder löscht niemals Datensätze.
Alle Verarbeitung und Anreicherung erfolgt innerhalb der Grenzen Ihres Microsoft 365-Mandanten.
Der Datenzugriff erfolgt über Microsoft Graph und Security Copilot-Plugins mit delegierten oder genehmigten Anwendungsberechtigungen.
Jeder Zugriffsvorgang wird protokolliert und ist für die Compliance über Microsoft Entra-Auditprotokolle nachvollziehbar.
Agenteneinstellungen
Der Agent unterstützt Konfigurationsparameter, die die Analyseintensität, den Verarbeitungsumfang und die Ausgabe struktur steuern:
Umfang
Alarme, Benutzer, Geräte, DLP
Definiert, welche Insider-Risk-Komponenten in die Analyse einbezogen werden.
Modus
schnell, standard, tief
Bestimmt die Tiefe der Anreicherung und Korrelation.
• schnell – Grundlegende Triage von Alarmen unter Verwendung wichtiger Identitäts- und Risikofaktoren.
• standard – Ausgewogene Anreicherung und Bewertung über Identitäts-, Aktivitäts- und DLP-Daten. (empfohlen)
• tief – Vollständige Mehrquellenanreicherung einschließlich Gerätestatus und Anomalieanalyse.
Zeitfenster
7, 14, 30 Tage
Definiert, wie weit zurück Alarme und Risikoeignisse analysiert werden.
Stellen Sie sicher, dass die zugewiesene Identität oder das Administratorkonto alle erforderlichen Rollen und Berechtigungen für Datenquellen besitzt, bevor Sie eine Analyse starten.
Sicherheits- und Compliance-Überlegungen
Die gesamte Kommunikation zwischen dem Agenten, Microsoft Graph und Defender-APIs ist gesichert mittels HTTPS und authentifiziert mit Microsoft-Identitätsdiensten.
Der Agent hält sich an die Zero Trust und Prinzipien der minimalen Rechte Designprinzipien.
Berechtigungen können jederzeit überprüft, eingeschränkt oder widerrufen werden über Microsoft Entra-Rollen-Zuweisungen oder Anwendungs-Zustimmungsverwaltung.
Während der Analyse werden keine Daten geschrieben oder geändert, wodurch vollständige operative Sicherheit und Integrität der Compliance gewährleistet sind.
Nächste Schritte
Bestätigen Sie, dass die erforderlichen Rollen (Insider Risk Management-Analyst, Security Reader und Directory Reader) dem Konto oder der Identität zugewiesen sind, die den Agenten ausführt.
Überprüfen Sie den Microsoft Purview- und Defender-Datenzugriff über Microsoft Graph-Berechtigungen.
Überprüfen Sie die Datenverwaltung und Richtlinien für Rollenzuweisungen Ihrer Organisation, bevor Sie den Agenten in der Produktion aktivieren.
Zuletzt aktualisiert
War das hilfreich?