> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/de/agents/attack-mapping-agent/permissions.md).

# Berechtigungen

### Übersicht

Diese Seite beschreibt die Berechtigungen und das Zugriffsmodell für das **Attack Mapping Agent**.\
Der Agent verwendet **schreibgeschützten Zugriff** auf Daten aus Microsoft Sentinel, Microsoft Defender und Security Copilot über dokumentierte **Microsoft Graph API** und **Security Copilot Plugins**.\
Er ist dafür ausgelegt, Konfigurationen von Analyseregeln, ATT\&CK-Zuordnungen und Telemetrie-Korrelationen zu analysieren **ohne Änderungen vorzunehmen** an Ihrer Umgebung.

***

### So funktioniert es

Der Agent verbindet sich sicher mit Ihrem Tenant und Ihrem Microsoft Sentinel Workspace, um Metadaten zu Analyseregeln, Zuordnungsdetails und zugehörige Telemetrie abzurufen.\
Er bewertet und validiert MITRE ATT\&CK Taktik-, Technik- und Untertechnik-Zuweisungen und stellt sicher, dass Zuordnungen die Erkennungsabdeckung korrekt widerspiegeln.

Alle Interaktionen folgen diesen Grundsätzen:

* **Schreibgeschützter Zugriff:** Der Agent ändert, erstellt oder löscht keine Analyseregeln.
* **Prinzip der minimalen Rechtevergabe:** Es werden nur die minimal erforderlichen Rollen und Berechtigungen verwendet, um Sentinel- und Defender-Daten zu lesen.
* **Transparenz:** Der gesamte Datenzugriff erfolgt über dokumentierte API-Endpunkte und kann in Microsoft Entra überprüft werden.

***

### Erforderliche Entra ID- und Sentinel-Rollen

Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agenten ausführt, die folgenden Rollen zu:

| Rolle                                         | Beschreibung                                                                                                   |
| --------------------------------------------- | -------------------------------------------------------------------------------------------------------------- |
| **Microsoft Sentinel Reader**                 | Bietet schreibgeschützten Zugriff auf Konfigurationen von Analyseregeln und Metadaten von Warnungen.           |
| **Microsoft Sentinel Responder** *(optional)* | Fügt Daten zu Incident-Beziehungen hinzu, wenn eine erweiterte Analyse aktiviert ist.                          |
| **Security Reader**                           | Gewährt Einblick in Sicherheitsinformationen und Ereignisse von Defender ohne Änderungsrechte.                 |
| **Directory Reader**                          | Ermöglicht schreibgeschützten Zugriff auf Verzeichnisdaten von Benutzern und Gruppen für die Regelkorrelation. |

Diese Rollen folgen dem **Prinzip der geringsten Berechtigung** und können je nach den Sicherheits-Governance-Richtlinien Ihrer Organisation angepasst werden.

***

### Transparenz beim Datenzugriff

Die folgende Tabelle zeigt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck:

| Datentyp                                     | Zugriffslevel    | Zweck                                                                                                |
| -------------------------------------------- | ---------------- | ---------------------------------------------------------------------------------------------------- |
| Metadaten zu Sentinel-Analyseregeln          | Schreibgeschützt | Um Analyseregeln zu inventarisieren, MITRE-Zuordnungen zu validieren und Inkonsistenzen zu erkennen. |
| Sicherheitswarnungen und Telemetriebeispiele | Schreibgeschützt | Um zu überprüfen, ob zugeordnete Techniken mit dem tatsächlichen Erkennungsverhalten übereinstimmen. |
| MITRE ATT\&CK Wissensdatenbank               | Schreibgeschützt | Um Taktik- und Technik-IDs zu validieren und die kanonische Übereinstimmung sicherzustellen.         |
| Verzeichnis- und Workspace-Daten             | Schreibgeschützt | Um Analyseregeln mit Besitzern und Konfigurationskontext abzugleichen.                               |

**Datenverarbeitung:**

* Der Agent ändert, erstellt oder löscht keine Daten in Ihrem Tenant.
* Es werden keine Kundendaten außerhalb der Tenant-Grenze exportiert.
* Der gesamte Zugriff erfolgt über Microsoft Graph und Security Copilot Plugins mit delegierten oder Anwendungsberechtigungen.
* Zugriffsaktivitäten werden für vollständige Nachverfolgbarkeit in den Microsoft Entra Überwachungsprotokollen aufgezeichnet.

***

### Agenteneinstellungen

Der Agent unterstützt konfigurierbare Parameter, die Umfang und Tiefe seiner Validierung festlegen:

| Einstellung | Optionen                                                                                                                  | Beschreibung                                                             |
| ----------- | ------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------ |
| **Scope**   | `analyticRules`, `telemetry`, `mappingValidation`                                                                         | Legt fest, welche Sentinel-Komponenten in die Analyse einbezogen werden. |
| **Modus**   | `quick`, `standard`, `deep`                                                                                               | Legt die Analysentiefe und den Korrelationsgrad fest.                    |
|             | • **quick** – Grundlegende Überprüfung von Regelzuordnungen auf Syntax und Struktur.                                      |                                                                          |
|             | • **standard** – Ausgewogene Validierung der Zuordnung mithilfe von MITRE-Wissen und begrenzter Telemetrie. *(empfohlen)* |                                                                          |
|             | • **deep** – Vollständige Validierung mit Telemetrie-Stichproben und Korrelation von Regel zu Erkennung.                  |                                                                          |

Bevor Sie den Agenten ausführen, stellen Sie sicher, dass alle erforderlichen Rollen und Workspace-Berechtigungen zugewiesen sind.

***

### Sicherheits- und Compliance-Überlegungen

* Die gesamte Kommunikation mit Microsoft Sentinel und Microsoft Graph wird mit **HTTPS** verschlüsselt und durch **Microsoft-Identitätsdienste**.
* Der Agent folgt **Zero Trust** und **Prinzip der minimalen Rechtevergabe** .
* Der Zugriff kann jederzeit über **Microsoft Entra Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**.
* überprüft oder widerrufen werden.

***

### Nächste Schritte

1. Stellen Sie sicher, dass dem Administrator oder der verwalteten Identität, die den Agenten ausführt, die erforderlichen Rollen zugewiesen sind.
2. Bestätigen Sie, dass die Zugriffsberechtigungen für Microsoft Sentinel und Defender API aktiv sind.
3. Überprüfen Sie vor der Bereitstellung die Richtlinien Ihrer Organisation zu geringsten Berechtigungen und Rollenzuweisungen.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/attack-mapping-agent/permissions.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.