Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.
Ctrlk
Go to glueckkanja Website

Berechtigungen

Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für den Cloud App Activity Profiler. Der Agent verwendet schreibgeschützten Zugriff für Microsoft Defender for Cloud Apps-, Microsoft Defender for Endpoint- und Microsoft Entra ID-Daten über dokumentierte Microsoft Graph API und Security Copilot Plugins. Es ist darauf ausgelegt, SaaS-Domain-Aktivitäten, Alarmkorrelationen und Bedrohungsindikatoren zu analysieren ohne irgendwelche Konfigurationen oder Richtlinien in Ihrer Umgebung zu ändern.

So funktioniert es

Der Agent verbindet sich sicher mit Ihrem Microsoft 365-Tenant und den Defender for Cloud Apps-Telemetriedaten, um SaaS-Aktivitätsdaten zu erfassen und zu korrelieren. Er erkennt neue oder stark frequentierte Domänen, reichert Erkenntnisse mit Alarm- und Threat-Intelligence-Kontext an und erstellt eine Risikobewertung mit Governance-Empfehlungen wie ZULASSEN, ÜBERWACHEN, oder BLOCKIEREN.

Alle Vorgänge basieren auf den folgenden Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent verändert oder entfernt keine Daten.

  • Prinzip der minimalen Rechtevergabe: Es werden nur die minimal erforderlichen Berechtigungen für die Analyse der Domänenaktivität angefordert.

  • Transparenz: Alle Datenabrufe erfolgen über dokumentierte Graph API-Endpunkte oder Security Copilot Plugins und sind in Microsoft Entra-Protokollen vollständig prüfbar.

Erforderliche Entra ID- und Defender-Rollen

Weisen Sie dem Administratorkonto oder der verwalteten Identität, die den Agenten betreibt, die folgenden Rollen und Berechtigungen zu:

Rolle
Beschreibung

Security Reader

Bietet schreibgeschützten Zugriff auf Sicherheitsinformationen und Warnungen in Microsoft Defender for Cloud Apps.

Cloud App Security Administrator (optional)

Gewährt bei Bedarf zusätzliche Einblicke in Cloud App-Konfigurationen und Erkennungsdaten.

Directory Reader

Ermöglicht Zugriff auf Benutzer- und Gruppendaten für die Normalisierung und Korrelation von Aktivitäten.

Diese Rollen folgen dem Prinzip der geringsten Berechtigung und kann auf bestimmte Ressourcen beschränkt werden, wenn kein tenantweiter Zugriff erforderlich ist.

Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt, auf welche Datenquellen der Agent zugreift und zu welchem Zweck:

Datentyp
Zugriffslevel
Zweck

Cloud-App-Aktivitätsprotokolle (CloudAppEvents)

Schreibgeschützt

Um neue und stark frequentierte Domänen zu identifizieren und mögliche Exfiltrations- oder Upload-Spitzen zu erkennen.

Alarmdaten (AlertInfo und AlertEvidence)

Schreibgeschützt

Um Alarme mit hoher Schwere und Verhaltensweisen zu korrelieren, die mit jeder Domäne verbunden sind.

Threat-Intelligence-Indikatoren (ThreatIntelligence.DTI)

Schreibgeschützt

Um Domänen mit Reputationsdaten und bekannten Bedrohungszuordnungen anzureichern.

Verzeichnis- und Benutzerdaten (optional)

Schreibgeschützt

Um Benutzeraktivitäten zu normalisieren und benutzerbasierte Risikometriken zu berechnen.

Datenverarbeitung:

  • Der Agent ändert oder löscht keine Defender-, Entra- oder Graph-Daten.

  • Die gesamte Verarbeitung erfolgt innerhalb der Grenzen Ihres Tenants, sodass kein Datenexport stattfindet.

  • Alle Datenzugriffe werden in den Microsoft Entra-Auditprotokollen für volle Transparenz und Compliance protokolliert.

  • Der Agent arbeitet nur mit delegierten oder genehmigten Anwendungsberechtigungen, die von Ihrem Administrator erteilt wurden.

Agenteneinstellungen

Der Agent unterstützt Konfigurationsparameter zur Steuerung von Erkennungstiefe, Analyseumfang und Ausgabeformat:

Einstellung
Optionen
Beschreibung

Scope

domains, Warnungen, threatIntel

Legt fest, welche Datenquellen in die Analyse einbezogen werden.

Modus

schnell, standard, tief

Gibt die Analysetiefe und den Anreicherungsgrad an.

schnell – Identifiziert neu beobachtete Domänen und grundlegende Aktivitätsmetriken.

standard – Korreliert Warnungen und Threat-Intelligence-Daten für eine kontextbezogene Bewertung. (empfohlen)

tief – Vollständige Anreicherung und Bewertung mit detaillierter Playbook-Generierung und Empfehlungen zur Domänen-Governance.

Lookback Window

7, 14, 30 Tage

Legt fest, wie weit zurück Aktivitätsdaten ausgewertet werden.

Stellen Sie sicher, dass alle erforderlichen Rollen der Identität zugewiesen sind, die den Agenten ausführt, bevor Sie eine Analyse starten.

Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation mit Microsoft Graph- und Defender-APIs wird mit HTTPS verschlüsselt und durch Microsoft-Identitätsdiensten.

  • Der Agent erfüllt Zero-Trust und Prinzip der minimalen Rechtevergabe Designprinzipien.

  • Berechtigungen können jederzeit überprüft oder widerrufen werden über Microsoft Entra Rollenverwaltung oder Zustimmungskonfiguration.

  • Der Agent führt keine Schreib- oder Konfigurationsvorgänge aus und gewährleistet so Betriebssicherheit und Compliance-Integrität.

Nächste Schritte

  1. Stellen Sie sicher, dass dem Dienstkonto oder der verwalteten Identität die erforderlichen Rollen und API-Berechtigungen zugewiesen wurden.

  2. Überprüfen Sie vor der Bereitstellung die Governance- und Rollenzuweisungsrichtlinien Ihrer Organisation.

  3. Konfigurieren Sie den gewünschten Analysemodus (schnell, standard, oder tief) basierend auf Größe und Sensibilität Ihrer Umgebung.

VorherigeÜbersichtNächsteÄnderungsprotokoll

Zuletzt aktualisiert

War das hilfreich?